חוקרי אבטחה הצליחו לגנוב עשרת אלפים דולר מהטלפון של מרקז בראונלי, יוטיובר הטכנולוגיה המוכר גם כ-MKHBD. לרוב, העברות בסכום הזה מחייבות זיהוי ביומטרי, אבל החוקרים ניצלו את מצב "תחבורה ציבורית" שאפל כללה בפרוטוקול כדי לאפשר מעבר מהיר במסופי רכבת או אוטובוס - ללא צורך בזיהוי ביומטרי, ועקפו את מגבלת הסכום ללא אישור.
ברמת העיקרון, מדובר במתקפת "האדם שבאמצע" קלאסית, אבל כזו שמנצלת את תקשורת ה-NFC קצרת הטווח המשמשת לתשלומים: התוקף גורם לאייפון לחשוב שהוא מול קורא כרטיסים של תחבורה ציבורית, ובכך עוקף את המצב הרגיל שמחייב אימות המשתמש. זה לא משהו שקורה מרחוק ודורש קרבה של מכשיר התקיפה - אבל כן מדובר בהדגמה לא נעימה של "מה קורה כשנוחות מנצחת אבטחה". בראונלי כמובן שיתף פעולה עם החוקרים, והיה די בהלם כשהם הצליחו לחייב אותו על עשרת אלפים דולר מבלי אישורו.
לפי הדיווח ב-Macrumors, והמחקר של החוקרים הבריטיים, מדובר בשילוב הייחודי של מצב "תחבורה ציבורית" (שפועל גם בישראל) ב-"אפל פיי" וכרטיסי אשראי של ויזה שמוטענים בהם. התקיפה הזו לא צלחה במקרים של חברות אשראי אחרות כמו מאסטרקארד או בפלטפורמות תשלומים אחרות. ויזה אגב מצדה טוענת שמדובר בתרחיש ייחודי שלא סביר שיתרחש בעולם האמיתי, וכי הלקוחות שלה מוגנים באמצעות הכחשת עסקה.
אז מה עושים? ההמלצה הפרקטית של החוקרים פשוטה: אם אתם משתמשים במצב תחבורה ציבורית באייפון, לא לאפשר אותו עבור כרטיס ויזה שמוטען בטלפון או לכבות אותו כליל. זה אולי יקשה עליכם קצת יותר במעבר הבא בתחבורה ציבורית, אבל גם יקשה על תוקפים לגנוב מכם סכומי כסף משמעותיים.