שילוב של פגמים בתכונת ה-Express Transit של Apple Pay וגם במערכת של Visa משאירים את הכרטיסים פגיעים, על פי מחקר אבטחה חדש.
חוקרי מדעי המחשב מאוניברסיטת ברמינגהם ומאוניברסיטת סארי פרסמו דו ח על קוקטייל הפגמים החדש ב-GitLab. המחקר שלהם מצביע על כך שמישהו יכול ליצור תשלומים הונאה, גם אם האייפון נעול. הסיכון נובע מהשילוב של ה-Express Transit של Apple Pay (המכונה גם Express Travel) ומערכת כרטיסי האשראי של Visa, כלומר מותגי כרטיסי אשראי ואמצעי תשלום אחרים אינם מושפעים.
פרצת האבטחה נוצרת במיוחד כאשר יש לך כרטיס אשראי של ויזה שהוגדר עבור Express Transit, המאפשר תשלומים ללא מגע למטרות תחבורה המונים. על פי הדיווח, בעיות עלולות להתעורר אם תוקף משתמש בקורא EMV ללא מגע כמו Clover או Square.
עם ההכנה הנכונה, התוקפים יוכלו "…לעקוף את מסך הנעילה של Apple Pay, ולשלם באופן לא חוקי מאייפון נעול." בין אם הטלפון נגנב או מוחבא בבטחה בתיק גב, הם יכולים לגבות חיובי הונאה אם הם יכולים להתקרב מספיק.
גם אפל וגם ויזה הודעו לבעיה (באוקטובר 2020 ובמאי 2021, בהתאמה), אך לא החליטו מי מהם יישם תיקון.
זכור שסיכון אבטחה זה ישפיע רק על משתמשי תחבורה אקספרס/נסיעות שכרטיס ויזה מוגדר כתשלום. אם אתה משתמש בשירות תשלום אחר או ב-Express Transit עם סוג אחר של כרטיס אשראי, לא תיפגע.
אם אתה אכן משתמש בשירות עם כרטיס ויזה, מומלץ מאוד להפסיק להשתמש ב-Visa ככרטיס התחבורה שלך ולעבור למשהו אחר לעת עתה.
