Kombinace nedostatků ve funkci Apple Pay Express Transit a systému Visa způsobuje, že karty jsou zranitelné, podle nového bezpečnostního výzkumu.
Výzkumníci počítačových věd z University of Birmingham a University of Surrey zveřejnili zprávu o novém koktejlu nedostatků na GitLab. Jejich výzkum ukazuje, že je možné, aby někdo generoval podvodné platby, i když je iPhone uzamčen. Riziko pochází z kombinace Apple Pay Express Transit (aka Express Travel) a systému kreditních karet Visa, což znamená, že ostatní značky kreditních karet a platební metody nejsou ovlivněny.
Bezpečnostní mezera vzniká konkrétně, když máte kreditní kartu Visa nastavenou pro expresní tranzit, který umožňuje bezkontaktní platby pro účely hromadné dopravy. Podle zprávy mohou nastat problémy, pokud útočník použije bezkontaktní čtečku EMV, jako je Clover nebo Square.
Při správné přípravě by útočníci byli schopni „…obejít zamykací obrazovku Apple Pay a nezákonně platit ze zamčeného iPhonu“. Bez ohledu na to, zda je telefon odcizen nebo bezpečně schovaný v batohu, mohou vznést podvodné obvinění, pokud se mohou dostat dostatečně blízko.
Apple i Visa byly o problému informovány (v říjnu 2020, resp. květnu 2021), ale nerozhodly se, který z nich bude implementovat opravu.
Mějte na paměti, že toto bezpečnostní riziko ovlivní pouze uživatele Express Transit/Travel, kteří mají jako platbu nastavenu kartu Visa. Pokud používáte jinou platební službu nebo expresní dopravu s jiným typem kreditní karty, nebude to ovlivněno.
Pokud službu používáte s kartou Visa, důrazně doporučujeme, abyste přestali používat Visa jako svou dopravní kartu a prozatím přešli na něco jiného.
