아이폰의 애플 페이에 비자 카드를 등록했을 경우 잠금 해제를 무시하고 무제한으로 결제 가능한 취약점이 존재합니다. 이 취약점은 애플이 2020년 10월, 비자가 2021년 5월에 상세 내용을 공개했으나 어느 쪽이 수정할지 합의하지 못한 상황입니다. 일단 애플은 비자 쪽의 문제라고 주장하는 것 같더군요.
애플 페이는 보다 편하게 결제할 수 있도록 iOS 12.3부터 아이폰의 잠금 해제 없이 애플 페이 결제가 가능한 익스프레스 카드 기능을 추가했습니다. 그러나 유로페이나 마스터카드에서는 문제가 없지만 비자 카드와 조합했을 경우 굼네자 생깁니다.
Proxmark라는 RFID 복사 장치에서 아이폰의 EMV를 읽어 FNC를 지원하는 안드로이드 디바이스에 정보를 전송하고, 안드로이드 디바이스에서 결제를 진행합니다. 오프라인 데이터 인증이라는 트랜잭션 처리 과정 중 카드 거래 한정자를 바꿔, 정상적인 장치에서 작업했다고 인증을 속여 제한된 금액 이상을 결제할 수 있습니다.
일단은 비자 카드를 애플 페이의 익스프레스 카드로 등록하지 않기를 권장하고 있습니다.