Eksploitasi iPhone yang melibatkan kartu Visa yang ditautkan dapat memungkinkan penyerang mencuri uang dari perangkat yang terkunci menggunakan NFC, namun prosesnya rumit, memerlukan akses fisik dan perangkat keras khusus. Eksploitasi ini disorot oleh saluran YouTube populer Veritasium, dan ini melibatkan penipuan pada iPhone agar mengira ia melakukan pembayaran di terminal angkutan massal, sebuah proses yang dapat diselesaikan dari iPhone yang terkunci.
Peneliti keamanan siber dari Universitas Surrey dan Universitas Birmingham mengembangkan serangan tersebut untuk melewati status terkunci iPhone dan mencuri dana dari dompet seluler. Eksploitasi ini pertama kali dipublikasikan pada tahun 2021, dan melampaui batasan tradisional pada ukuran transaksi. Veritasium mendemonstrasikan serangan tersebut dengan mengumpulkan $10.000 dari iPhone terkunci YouTuber Marques Brownlee.
Serangan ini bekerja menggunakan pembaca kartu NFC yang menyadap komunikasi antara iPhone dan terminal tap-to-pay saat pembayaran dilakukan. Pembaca kartu terhubung ke laptop yang mengumpulkan data pembayaran dan mengirimkannya ke telepon burner terpisah, yang kemudian disadap pada pembaca kartu yang sah. Perangkat NFC harus disetel ke pengidentifikasi terminal transit yang sama dengan pembaca transit yang sah.
Proses ini mengharuskan korban untuk mengaktifkan Mode Transit Ekspres untuk pembayaran, dan kartu Visa yang ditautkan untuk pembayaran tersebut, di antara langkah-langkah lainnya. Ternyata, ini adalah celah keamanan terkait Visa, bukan masalah iPhone, dan tidak berfungsi dengan kartu Mastercard atau American Express karena kartu lain menggunakan metode keamanan berbeda. Ini juga tidak berfungsi dengan Samsung Pay di perangkat Samsung, dan memerlukan kombinasi khusus kartu Visa dan iPhone. Apple mengatakan kepada Veritasium bahwa ini adalah masalah pada sistem Visa, tetapi sesuatu yang tidak mungkin terjadi di dunia nyata.
Hal ini merupakan kekhawatiran sistem Visa, namun Visa tidak yakin penipuan semacam ini mungkin terjadi di dunia nyata. Visa telah memperjelas bahwa pemegang kartunya dilindungi oleh kebijakan nol tanggung jawab Visa.
Visa juga mengatakan kepada Veritasium bahwa eksploitasi tersebut sangat kecil kemungkinannya terjadi di dunia nyata, dan transaksi semacam itu dapat disengketakan. Para peneliti yang membagikan eksploitasi tersebut mengatakan pengguna dapat melindungi diri mereka sendiri dengan tidak menggunakan kartu Visa di iPhone untuk tujuan transit.
