Din Iphone kan vara låst, men ändå släppa igenom en betalning. Det visar en uppmärksammad säkerhetslucka i Apple Pay, där forskare lyckats göra stora kortköp från en låst Iphone utan Face ID, kod eller fingeravtryck.
Problemet gäller inte alla iPhone-användare. Men har du ett Visa-kort kopplat till Apple Pay och använder funktionen Express Transit, kan det vara läge att kontrollera inställningen redan nu.
LÄS MER: Vanliga prylen i hemmet förbjuds
Lurar mobilen att tro att du åker kollektivt
Express Transit är funktionen som ska göra det snabbare att betala i kollektivtrafiken med iPhone. I stället för att låsa upp mobilen, öppna Apple Pay och godkänna med Face ID eller kod, kan användaren bara blippa telefonen direkt vid spärren. Men det är också just där säkerhetsluckan uppstår.
Redan 2021 visade forskare från University of Birmingham och University of Surrey hur en angripare kunde lura en låst Iphone att tro att den betalade vid en kollektivtrafikspärr – trots att betalningen i själva verket gick till en vanlig kortterminal. I tester lyckades forskarna genomföra betalningar på höga belopp utan att användaren själv godkände köpet.
Nu har frågan fått ny uppmärksamhet efter en video från Youtube-kanalen Veritasium. Där demonstreras hur attacken kan fungera i praktiken – och enligt videon är problemet, fem år efter att det först uppmärksammades, fortfarande relevant.
" contenteditable="false" >
Kräver rätt kort och rätt inställning
Alla Iphone-användare är inte utsatta. Attacken kräver framför allt att användaren har ett Visa-kort inställt som Express Transit-kort i Apple Pay. Problemet har inte visats fungera på samma sätt med Mastercard, och enligt rapporter gäller det inte heller Samsung Pay på motsvarande sätt.
Det handlar dessutom inte om en enkel ficktjuvsmetod som vem som helst kan använda på några sekunder i tunnelbanan. Attacken är tekniskt avancerad och kräver särskild utrustning.
Men eftersom den bygger på en funktion som många användare knappt tänker på kan det ändå vara värt att kontrollera inställningen. Framför allt om du har ett Visa-kort kopplat till Apple Pay och någon gång har aktiverat Express Transit.
Så skyddar du din Iphone
Öppna inställningarna på din Iphone. Gå sedan till "Wallet och Apple Pay" och sedan "Express Transit-kort". Välj "Inget" – eller se till att inte ha ett Visa-kort valt där.
Apple beskriver själva Express Transit som en funktion där du inte behöver låsa upp mobilen, öppna en app eller bekräfta med Face ID, Touch ID eller lösenkod för att betala i kollektivtrafiken.
Vanliga Apple Pay-köp i butik kräver däremot normalt att du godkänner betalningen.
Ingen anledning till panik
För svenska Iphone-användare är risken sannolikt låg. Det här är inte en enkel blufflänk, inte ett virus och inte ett tecken på att alla iPhones går att tömma på pengar.
Men använder du Apple Pay ofta är det en inställning värd att kontrollera, och för många räcker det med ett snabbt besök i inställningarna för att stänga den lilla luckan helt.
