Buzz
Các chuyên gia an ninh mạng đã công bố lỗ hổng cho phép thực hiện hành vi này từ năm 2021, tuy nhiên cho đến nay nó vẫn chưa được vá.
Một lỗ hổng bảo mật cho phép kẻ tấn công rút tiền từ iPhone dù thiết bị đang bị khóa, không cần mật khẩu hay Face ID, đã được công khai từ năm 2021. Thế nhưng đến năm 2026, vấn đề này vẫn chưa được khắc phục. Đáng chú ý, để khai thác lỗ hổng, kẻ xấu thậm chí không cần mở khóa thiết bị hay yêu cầu chủ máy xác nhận giao dịch dưới bất kỳ hình thức nào.
Lỗ hổng này được phát hiện bởi hai giáo sư an ninh mạng Ioana Boureanu và Tom Chothia đến từ Đại học Surrey và Đại học Birmingham. Để chứng minh mức độ nghiêm trọng của nó, kênh YouTube Veritasium đã hợp tác với hai chuyên gia thực hiện một cuộc tấn công mô phỏng vào chiếc iPhone của YouTuber công nghệ nổi tiếng Marques Brownlee (MKBHD).
Kết quả cho thấy họ có thể rút thành công 10.000 USD từ tài khoản Apple Pay dù chiếc điện thoại vẫn ở trạng thái khóa hoàn toàn.
Phương thức tấn công lợi dụng tính năng Express Transit Mode được Apple giới thiệu vào năm 2019. Tính năng này cho phép người dùng thanh toán vé tàu điện ngầm hoặc xe buýt mà không cần mở khóa iPhone, giúp tránh tình trạng ùn tắc khi nhiều hành khách phải dùng Face ID hoặc nhập mật khẩu. Để hoạt động, Express Transit Mode cần thiết bị nhận tín hiệu nhận dạng từ đầu đọc của hệ thống giao thông công cộng thông qua NFC.
Kẻ tấn công khai thác điểm này bằng cách sử dụng một thiết bị NFC chuyên dụng có tên Proxmark để giả lập tín hiệu từ cổng soát vé tàu điện. Khi iPhone nhận tín hiệu giả này, thiết bị sẽ tưởng rằng đang kết nối với đầu đọc giao thông công cộng và tự động kích hoạt chế độ thanh toán nhanh mà không cần mở khóa. Đây chính là "lời nói dối" đầu tiên mà kẻ tấn công dùng để vượt qua lớp bảo mật ban đầu.
Express Transit Mode là tính năng giúp người dùng iPhone thanh toán nhanh tại cổng kiểm soát giao thông công cộng chỉ bằng một lần quẹt
Tuy vậy, việc vượt qua màn hình khóa vẫn chưa phải bước cuối. Thông thường, những giao dịch có giá trị lớn — chẳng hạn 10.000 USD — sẽ yêu cầu người dùng xác thực bằng mã PIN, vân tay hoặc nhận diện khuôn mặt. Để tiếp tục vượt qua lớp bảo vệ này, kẻ tấn công đã đánh lừa iPhone bằng cách can thiệp và thay đổi dữ liệu giao dịch được truyền qua kết nối NFC.
Trong gói dữ liệu giao dịch tồn tại một bit thông tin xác định đây là giao dịch "giá trị cao" hay "giá trị thấp". Bằng cách chặn tín hiệu từ thiết bị đọc thẻ, chuyển dữ liệu qua laptop chạy script Python để chỉnh sửa bit này từ 1 (giá trị cao) thành 0 (giá trị thấp), kẻ tấn công khiến iPhone hiểu nhầm rằng giao dịch 10.000 USD chỉ là khoản thanh toán nhỏ không cần xác minh.
"Lời nói dối" thứ ba được nhắm tới chính thiết bị đọc thẻ. Khi iPhone phản hồi rằng giao dịch 10.000 USD đã được chấp nhận nhưng không yêu cầu xác thực người dùng, máy đọc thẻ sẽ từ chối vì hiểu rằng một giao dịch lớn như vậy bắt buộc phải có bước xác minh.
Vì vậy, kẻ tấn công tiếp tục can thiệp vào phản hồi từ iPhone, chỉnh sửa bit dữ liệu từ trạng thái "chưa xác thực" sang "đã xác thực". Máy đọc thẻ tin rằng thông tin này là chính xác và gửi tiếp yêu cầu tới ngân hàng, nơi giao dịch được phê duyệt vì mọi dữ liệu đều trông hợp lệ.
Một điểm đáng chú ý là lỗ hổng này chỉ xuất hiện khi kết hợp iPhone với thẻ Visa. Trên các điện thoại Samsung, tính năng thanh toán giao thông chỉ cho phép giao dịch 0 USD và để nhà cung cấp dịch vụ vận tải tính toán tổng chi phí vào cuối ngày rồi gửi hóa đơn sau.
Trong khi đó, thẻ Mastercard và American Express áp dụng cơ chế mã hóa bất đối xứng bắt buộc cho mọi giao dịch, nhờ vậy có thể phát hiện ngay nếu dữ liệu bị thay đổi. Ngược lại, Visa chỉ yêu cầu dạng mã hóa này trong một số trường hợp nhất định, chẳng hạn khi máy đọc thẻ hoạt động ngoại tuyến. Khi thiết bị đang trực tuyến như trong kịch bản tấn công, Visa chỉ dựa vào lớp mã hóa đối xứng giữa thẻ và ngân hàng — lớp bảo mật không đủ mạnh để nhận ra dữ liệu đã bị giả mạo.
Sau khi hai giáo sư báo cáo riêng về lỗ hổng cho Apple và Visa, thông tin này đã được công bố rộng rãi vào năm 2021. Tuy vậy, đến năm 2026 vẫn chưa có bất kỳ thay đổi kỹ thuật nào được triển khai để khắc phục. Apple cho rằng đây là vấn đề thuộc về hệ thống của Visa, trong khi Visa lại nhận định hình thức gian lận này "rất khó xảy ra trong thực tế" và nhấn mạnh chính sách zero liability nhằm bảo vệ chủ thẻ — tức người dùng sẽ được hoàn tiền nếu khiếu nại thành công.
Để giảm rủi ro, người dùng iPhone có thể tắt tính năng Express Transit Mode trong phần cài đặt Apple Wallet hoặc không đặt thẻ Visa làm phương thức thanh toán cho giao thông. Tuy nhiên cần lưu ý rằng khi thêm một thẻ tương thích vào Apple Wallet, Express Transit Mode thường được kích hoạt tự động theo mặc định.
