Apple Payn Express Transit -ominaisuuden ja Visan järjestelmän puutteiden yhdistelmä tekee korteista haavoittuvia uuden tietoturvatutkimuksen mukaan. Tietojenkäsittelytieteen tutkijat Birminghamin yliopistosta ja Surreyn yliopistosta ovat julkaisseet raportin uudesta virheiden cocktailista GitLabissa. Heidän tutkimuksensa osoittavat, että joku voi suorittaa vilpillisiä maksuja, vaikka iPhone olisi lukittu. Riski johtuu Apple Payn Express Transitin (alias Express Travel) ja Visan luottokorttijärjestelmän yhdistelmästä, mikä tarkoittaa, että muut luottokorttimerkit ja maksutavat säilyvät ennallaan.Haavoittuvuus syntyy nimenomaan, kun olet määrittänyt Express Transitille Visa-luottokortin, joka mahdollistaa lähimaksut julkisessa liikenteessä. Raportin mukaan ongelmia voi syntyä, jos hyökkääjä käyttää kontaktitonta EMV-lukijaa, kuten Clover tai Square. Oikealla valmistelulla hyökkääjät voisivat «…ohittaa Apple Payn lukitusnäytön ja maksaa laittomasti lukitusta iPhonesta». Olipa puhelin varastettu tai pidetty turvallisesti repussa, he voivat tehdä petollisia syytteitä, jos he pääsevät tarpeeksi lähelle. Sekä Applelle että Visalle on ilmoitettu ongelmasta (lokakuussa 2020 ja toukokuussa 2021), mutta he eivät ole vielä päättäneet kumpi ottaa käyttöön korjauksen.
Huomaa, että tämä turvallisuusriski koskee vain Express Transit/Travel -käyttäjiä, jotka ovat määrittäneet Visa-kortin maksuvälineeksi. Jos käytät eri maksupalvelua tai Express Transitia erityyppisellä luottokortilla, tämä ei vaikuta sinuun. Jos käytät palvelua Visa-kortilla, on erittäin suositeltavaa lopettaa Visan käyttö kuljetuskorttina ja vaihtaa toistaiseksi johonkin muuhun.
