Kaedah baru untuk menyedot dana dari kad Visa yang didaftarkan ke Apple Pay baru-baru ini ditemui oleh sekumpulan penyelidik dari jabatan Sains Komputer di Universiti Birmingham dan Surrey. Seperti yang ditunjukkan dalam video yang belum dirilis sebelum BBC , peretasan tersebut memanfaatkan fitur Transit Ekspres aplikasi Wallet. , yang membolehkan pengguna membuat pembayaran tanpa sentuhan cepat tanpa membuka kunci telefon mereka dengan Face ID. Transit Ekspres sangat berguna untuk penumpang, terutama di London Underground. Dalam video demonstrasi, para penyelidik berjaya menggunakan serangan geganti yang dikuasakan oleh peranti Android dan peralatan radio biasa untuk’mencuri’£ 1000 dari akaun mereka.
Inilah cara peretasan yang dilaporkan berfungsi, dengan perincian utama tertentu yang sengaja dihilangkan demi keamanan: sekeping peralatan radio tertentu menipu iPhone bahawa ia adalah penghalang tiket, sementara telefon Android dengan aplikasi tertentu adalah menyampaikan isyarat antara iPhone dan terminal pembayaran tanpa sentuh. Oleh itu iPhone tertipu bahawa ia berkomunikasi dengan penghalang tiket yang sebenarnya dan pembayaran boleh dibenarkan tanpa menggunakan PIN atau kebenaran biometrik, sehingga dana tersebut dipindahkan ke terminal pembayaran bodoh.
Para penyelidik mendedahkan bahawa peretasan itu tidak memerlukan peranti Android atau terminal pembayaran tanpa sentuh berada di dekat mangsa iPhone, kerana hanya sebilangan kecil peralatan yang diperlukan untuk menipu perangkat dan menarik balik dana.”Ia boleh berada di benua lain dari iPhone selagi ada sambungan internet”, kata penyelidik bersama Dr Ioana Boureanu dari University of Surrey. 
Terdapat lapisan perak, walaupun: setakat ini, peretasan itu hanya ditiru secara dalaman dan tidak ada laporan yang pernah digunakan oleh orang yang melakukan kesalahan dalam keadaan kehidupan sebenar, yang seharusnya memberi anda ketenangan fikiran, terutamanya jika anda menggunakan kad Visa untuk membayar dengan cepat di terminal tanpa sentuh. Penyelidik lain, yang tidak terlibat dengan penyelidikan asal, memberi amaran bahawa peretasan itu dapat digunakan untuk mengeluarkan sejumlah wang dengan cepat dan mudah dari peranti yang dicuri yang terkunci dengan kod PIN, cap jari, atau ID Wajah.
Menurut para penyelidik, penggodaman ini hanya berfungsi dengan kad Visa dan sepertinya tidak mempengaruhi ekosistem Mastercard, yang telah meningkatkan lapisan keamanan. Kekurangan itu ditemui lebih dari setahun yang lalu, dan sementara perbincangan yang bermanfaat telah berlangsung dengan Visa, eksploitasi tersebut masih belum dapat diselesaikan kerana Visa dilaporkan menganggap isu ini”tidak praktikal”untuk dihentikan dalam kehidupan nyata. Syarikat itu mengatakan bahawa”Variasi skema penipuan tanpa sentuh telah dikaji di persekitaran makmal selama lebih dari satu dekad dan terbukti tidak praktikal untuk dilaksanakan secara besar-besaran di dunia nyata”. Apple juga telah mengambil sikap, mengungkapkan bahawa”ini adalah masalah dengan sistem Visa tetapi Visa tidak percaya penipuan semacam ini mungkin berlaku di dunia nyata memandangkan banyak lapisan keselamatan di tempatnya”. Apa yang boleh anda lakukan untuk mengelakkan diri anda berpotensi mengeluarkan wang anda dari kad Visa anda? Dr Tom Chothia dari Birmingham University mendesak pengguna iPhone untuk melihat apakah mereka telah menyediakan kad Visa untuk pembayaran transit tanpa sentuhan dan menonaktifkan transit Express untuk mencapai ketenangan jiwa. Dengan cara ini, anda harus mengesahkan setiap pembayaran dengan kod PIN, cap jari, atau data wajah anda.
Walaupun kemungkinan serangan seperti itu terjadi relatif rendah karena kerumitan peretasan, selalu ada kemungkinan. Dr Andreea Radu dari Universiti Birmingham, yang memimpin penyelidikan itu, memberi amaran bahawa walaupun terdapat komplikasi teknikal, eksploitasi kewangan yang rumit seperti itu dapat menjadi lebih lazim dalam beberapa tahun, terutama jika dibiarkan oleh institusi perbankan masing-masing.
