Une combinaison de failles à la fois dans la fonctionnalité Express Transit d'Apple Pay et dans le système de Visa rend les cartes vulnérables, selon de nouvelles recherches sur la sécurité.
Des chercheurs en informatique de l'Université de Birmingham et de l'Université de Surrey ont publié un rapport sur le nouveau cocktail de failles de GitLab. Leurs recherches indiquent qu'il est possible pour quelqu'un de générer des paiements frauduleux, même si l'iPhone est verrouillé. Le risque provient de la combinaison du système Express Transit d'Apple Pay (alias Express Travel) et du système de cartes de crédit de Visa, ce qui signifie que les autres marques de cartes de crédit et les méthodes de paiement ne sont pas affectées.
La faille de sécurité est spécifiquement créée lorsque vous avez une carte de crédit Visa configurée pour Express Transit, qui permet les paiements sans contact à des fins de transport en commun. Selon le rapport, des problèmes peuvent survenir si un attaquant utilise un lecteur EMV sans contact comme Clover ou Square.
Avec la bonne préparation, les attaquants pourraient "… contourner l'écran de verrouillage d'Apple Pay et payer illégalement à partir d'un iPhone verrouillé". Que le téléphone soit volé ou rangé en toute sécurité dans un sac à dos, ils peuvent accumuler des frais frauduleux s'ils peuvent s'approcher suffisamment.
Apple et Visa ont été informés du problème (en octobre 2020 et mai 2021, respectivement), mais n'ont pas décidé lequel mettra en œuvre un correctif.
Gardez à l'esprit que ce risque de sécurité n'affectera que les utilisateurs d'Express Transit/Travel qui ont une carte Visa définie comme moyen de paiement. Si vous utilisez un autre service de paiement ou Express Transit avec un autre type de carte de crédit, vous ne serez pas affecté.
Si vous utilisez le service avec une carte Visa, il est fortement recommandé d'arrêter d'utiliser Visa comme carte de transport et de passer à autre chose pour le moment.