Zgodnie z nowymi badaniami nad bezpieczeństwem, połączenie wad zarówno funkcji Express Transit firmy Apple Pay, jak i systemu Visa powoduje, że karty są podatne na ataki.
Analitycy informatyki z University of Birmingham i University of Surrey opublikowali raport na temat nowego koktajlu wad na GitLab. Ich badania wskazują, że ktoś może generować fałszywe płatności, nawet jeśli iPhone jest zablokowany. Ryzyko wynika z połączenia usługi Express Transit (inaczej Express Travel) firmy Apple Pay oraz systemu kart kredytowych Visa, co oznacza, że nie ma to wpływu na inne marki kart kredytowych i metody płatności.
Luka w zabezpieczeniach powstaje, gdy masz kartę kredytową Visa skonfigurowaną do obsługi Express Transit, która umożliwia płatności zbliżeniowe w transporcie zbiorowym. Według raportu, problemy mogą pojawić się, jeśli atakujący użyje zbliżeniowego czytnika EMV, takiego jak Clover lub Square.
Przy odpowiednim przygotowaniu napastnicy będą mogli „…ominąć ekran blokady Apple Pay i nielegalnie zapłacić z zablokowanego iPhone’a”. Bez względu na to, czy telefon zostanie skradziony, czy bezpiecznie schowany w plecaku, mogą zebrać nieuczciwe opłaty, jeśli podejdą wystarczająco blisko.
Zarówno Apple, jak i Visa zostały poinformowane o problemie (odpowiednio w październiku 2020 r. i maju 2021 r.), ale nie zdecydowały, który z nich wdroży poprawkę.
Pamiętaj, że to zagrożenie bezpieczeństwa dotyczy tylko użytkowników usługi Express Transit/Travel, którzy mają ustawioną kartę Visa jako formę płatności. Jeśli korzystasz z innej usługi płatniczej lub Express Transit przy użyciu innego rodzaju karty kredytowej, nie będzie to miało wpływu.
Jeżeli korzystasz z usługi z kartą Visa, zdecydowanie zalecamy zaprzestanie używania Visa jako karty transportowej i przejście na coś innego.
