Apple Pay mahdollistaa lähimaksamisen iPhonella.
YouTube-kanava Veritasium on julkaissut videon, jossa käsitellään iPhone-puhelimien lähimaksamiseen liittyvää haavoittuvuutta. Teoreettisesti tämä haavoittuvuus voisi mahdollistaa jopa 10 000 dollarin veloituksen lukitusta laitteesta, mutta käytännössä riski on erittäin pieni.
Tutkijat Ioana Boureanu ja Tom Chothia ovat todenneet, että iPhonea voidaan huijata suorittamaan NFC-lähimaksu ilman, että laite avataan.
Hyökkäys perustuu siihen, että puhelin saadaan uskomaan maksupäätteen olevan joukkoliikenteen maksupääte, joka hyödyntää Applen Express Transit -ominaisuutta. Tämän ominaisuuden avulla maksaminen onnistuu ilman Face ID:tä tai pääsykoodia.
Hyökkäys toimii vain hyvin rajoitetuissa olosuhteissa: iPhonessa on oltava käytössä Express Transit, maksukorttina on oltava Visa, ja hyökkäys vaatii useita teknisesti vaativia vaiheita. MasterCard-kortit eivät ole haavoittuvia samalla tavalla.
Haavoittuvuus havaittiin jo vuonna 2021, eikä sitä ole vieläkään täysin korjattu. Applen mukaan ongelma liittyy osittain Visan järjestelmiin. Visa puolestaan korostaa, että asiakkaat ovat suojattuja sen vastuulupauksen ansiosta, eli mahdolliset haavoittuvuuden vuoksi menetetyt varat korvataan.
Sekä Apple että Visa pitävät hyökkäystä epätodennäköisenä todellisessa käytössä, sillä se vaatii tarkasti kontrolloidun ympäristön ja erityisosaamista.
Tavallisten käyttäjien ei siis todennäköisesti tarvitse olla huolissaan.
