En fejl i Apple Pay gør det muligt at foretage store uatoriserede betalinger med et Visa-kort via en låst iPhone.
Det har en række sikkerhedsforskere ifølge BBC netop bevist i et forsøg.
Misbruget af Apple Pay kan ifølge BBC lade sig gøre ved hjæp af den såkaldte Express Transit-funktion, hvor det er muligt at give et kort i Apples Wallet-app tilladelse til at blive brugt i ulåst tilstand ved særlige terminaler i den offentlige transport.
Sådan gjorde forskerne
Forsøget lader dog til at være relativt kompleks, og ifølge BBC har det fundet sted i kontrollerede omgivelser, hvor forskerne har opsat et stykke radio-udstyr i nærheden af en iPhone, der får telefonen til tro, at den nærmer sig et betalingssystem i den offentlige transport.
Samtidig har forskerne udstyret en Android-telefo med en app, som de selv har udviklet og som kan videreformidlet signalet fra iPhonen til en helt almindelig kontaktløs betalingsterminal.
Det kan eksempelvis være en betalingsterminal i en butik, eller en betalingsterminal som en kriminel selv har kontrol over, og fordi iPhonen tror, at den nærmer sig Transit Express-betalingsterminal behøver den ikke at blive låst op.
På denne måde bliver iPhonen narret til at foretage større betalinger uden, at der først bliver indtastet en kode eller anvendt FaceID eller TouchID.
Apple: Svagheden finder hos Visa
Apple oplyser ifølge BBC, at årsagen til problemet skal findes i Visas systemer, men Visa ifølge BBC vurderer, at problemstillingen mest af alt har teoretisk karakter og vil være upraktisk udføre uden for laboratorium.
Ifølge BBC er det endnu ikke har været beviser for, at svagheden er blevet udnyttet i det virkelige liv.
Sikkerhedsforskeren Ken Munro fra firmaet Pen Test Partner vurderer dog, at sårbarheden har potentiale til at blive udnyttet i forbindelse tyveri af iPhones. Han opfordrer derfor til, at Apple og Visa får lappet sårbarheden hurtigst muligt.