Een combinatie van gebreken in zowel de Express Transit-functie van Apple Pay als het Visa-systeem maakt kaarten kwetsbaar, volgens nieuw beveiligingsonderzoek.
Computer Science-onderzoekers van de Universiteit van Birmingham en de Universiteit van Surrey hebben een rapport uitgebracht over de nieuwe cocktail van fouten op GitLab. Uit hun onderzoek blijkt dat het mogelijk is dat iemand frauduleuze betalingen doet, zelfs als de iPhone is vergrendeld. Het risico komt voort uit de mix van Apple Pay's Express Transit (ook bekend als Express Travel) en Visa's creditcardsysteem, wat betekent dat andere creditcardmerken en betaalmethoden niet worden beïnvloed.
De veiligheidslacune wordt specifiek gecreëerd wanneer u een Visa-creditcard hebt ingesteld voor Express Transit, waarmee contactloze betalingen voor openbaar vervoer mogelijk zijn. Volgens het rapport kunnen er problemen ontstaan als een aanvaller een contactloze EMV-lezer zoals Clover of Square gebruikt.
Met de juiste voorbereiding zouden aanvallers in staat zijn om "…het Apple Pay-vergrendelingsscherm te omzeilen en illegaal te betalen vanaf een vergrendelde iPhone." Of de telefoon nu is gestolen of veilig in een rugzak is opgeborgen, ze kunnen frauduleuze aanklachten indienen als ze dichtbij genoeg kunnen komen.
Zowel Apple als Visa zijn op de hoogte gebracht van het probleem (respectievelijk in oktober 2020 en mei 2021), maar hebben nog niet besloten welke een oplossing zal implementeren.
Houd er rekening mee dat dit veiligheidsrisico alleen van invloed is op gebruikers van Express Transit/Travel die een Visa-kaart als betaling hebben ingesteld. Als u een andere betalingsdienst of Express Transit gebruikt met een ander soort creditcard, heeft dit geen gevolgen voor u.
Als je de dienst toch met een Visa-kaart gebruikt, is het ten zeerste aan te raden om te stoppen met het gebruik van Visa als je vervoerskaart en voorlopig over te stappen op iets anders.