Tranzyt Apple Pay Express może zagrozić kartom Visa

Jak wynika z nowych badań nad bezpieczeństwem, połączenie wad zarówno funkcji Express Transit firmy Apple Pay, jak i systemu Visa powoduje, że karty są podatne na ataki.

Badacze informatyki z University of Birmingham i University of Surrey opublikowali raport na temat nowego koktajlu wad na GitLab. Ich badania wskazują, że ktoś może generować fałszywe płatności, nawet jeśli iPhone jest zablokowany. Ryzyko wynika z połączenia Apple Pay Express Transit (aka Express Travel) i systemu kart kredytowych Visa, co oznacza, że ​​nie ma to wpływu na inne marki kart kredytowych i metody płatności.

Luka bezpieczeństwa powstaje w przypadku posiadania karty kredytowej Visa skonfigurowanej do obsługi Express Transit, która umożliwia dokonywanie płatności zbliżeniowych dla celów transportu zbiorowego. Według raportu, problemy mogą pojawić się, jeśli atakujący użyje zbliżeniowego czytnika EMV, takiego jak Clover lub Square.

Przy odpowiednim przygotowaniu napastnicy mogliby „…ominąć ekran blokady Apple Pay i nielegalnie zapłacić z zablokowanego iPhone”. Bez względu na to, czy telefon zostanie skradziony, czy bezpiecznie schowany w plecaku, mogą zebrać nieuczciwe opłaty, jeśli zdołają się zbliżyć wystarczająco.

Zarówno Apple, jak i Visa zostały poinformowane o problemie (odpowiednio w październiku 2020 r. i maju 2021 r.), ale nie zdecydowały, który z nich wdroży poprawkę.

Należy pamiętać, że to zagrożenie bezpieczeństwa dotyczy tylko użytkowników Express Transit/Travel, którzy mają ustawioną kartę Visa jako formę płatności. Jeśli korzystasz z innej usługi płatniczej lub Express Transit przy użyciu innego rodzaju karty kredytowej, nie będzie to miało wpływu.

Jeśli korzystasz z usługi za pomocą karty Visa, zdecydowanie zalecamy zaprzestanie korzystania z Visa jako karty transportowej i przejście na coś innego.