Một lỗ hổng bảo mật cho phép kẻ tấn công rút tiền từ iPhone đang khóa mà không cần mật khẩu hay Face ID đã được công bố công khai từ năm 2021. Tuy nhiên, đến nay năm 2026, lỗ hổng này vẫn chưa được vá. Điều đáng nói là để khai thác lỗ hổng, kẻ tấn công thậm chí không cần phải mở khóa thiết bị hay yêu cầu nạn nhân xác thực giao dịch bằng bất kỳ hình thức nào.
Lỗ hổng được hai giáo sư an ninh mạng Ioana Boureanu và Tom Chothia từ Đại học Surrey và Đại học Birmingham phát hiện. Để chứng minh mức độ nguy hiểm, kênh YouTube Veritasium đã phối hợp với hai chuyên gia này thực hiện cuộc tấn công mô phỏng lên chiếc iPhone của YouTuber công nghệ nổi tiếng Marques Brownlee (MKBHD).
Kết quả: họ đã thành công rút 10.000 USD từ tài khoản Apple Pay trong khi điện thoại vẫn đang ở trạng thái khóa hoàn toàn.
Cơ chế tấn công dựa trên tính năng Express Transit Mode mà Apple ra mắt năm 2019. Tính năng này cho phép người dùng thanh toán vé tàu điện ngầm hoặc xe buýt mà không cần mở khóa iPhone, nhằm tránh tình trạng ùn tắc khi hàng loạt hành khách phải quét Face ID hay nhập mật khẩu. Tuy nhiên, để hoạt động, Express Transit Mode yêu cầu thiết bị đọc tín hiệu nhận dạng từ thiết bị đầu cuối giao thông công cộng thông qua NFC.
Kẻ tấn công lợi dụng điều này bằng cách sử dụng thiết bị NFC đặc biệt gọi là Proxmark để giả mạo tín hiệu từ cổng soát vé tàu điện. Khi iPhone nhận được tín hiệu giả mạo này, nó cho rằng đang giao tiếp với một thiết bị đầu cuối giao thông công cộng và tự động kích hoạt chế độ thanh toán nhanh mà không yêu cầu mở khóa. Đây là "lời nói dối" đầu tiên mà kẻ tấn công đưa ra để vượt qua hàng rào bảo mật đầu tiên.
Tuy nhiên, chỉ vượt qua màn hình khóa vẫn chưa đủ. Trong điều kiện bình thường, các giao dịch giá trị cao — ví dụ 10.000 USD — sẽ kích hoạt yêu cầu xác thực khách hàng thông qua mã PIN, vân tay hoặc nhận diện khuôn mặt. Để vượt qua rào cản này, kẻ tấn công lại tiếp tục đánh lừa iPhone bằng cách chỉnh sửa dữ liệu giao dịch được truyền qua sóng NFC.
Trong dữ liệu này có một bit thông tin xác định giao dịch là "giá trị cao" hay "giá trị thấp". Bằng cách chặn tín hiệu từ máy đọc thẻ, chuyển qua laptop chạy script Python để thay đổi bit này từ 1 (giá trị cao) thành 0 (giá trị thấp), họ khiến iPhone tin rằng giao dịch 10.000 USD chỉ là một khoản thanh toán nhỏ không cần xác thực.
"Lời nói dối" thứ ba hướng đến máy đọc thẻ thật. Khi iPhone phản hồi rằng nó đã chấp thuận giao dịch 10.000 USD nhưng không yêu cầu xác thực khách hàng, máy đọc thẻ sẽ từ chối giao dịch vì biết rằng một khoản tiền lớn như vậy bắt buộc phải có xác thực.
Do đó, kẻ tấn công lại can thiệp vào phản hồi từ iPhone, sửa bit thông tin từ "chưa xác thực" thành "đã xác thực". Máy đọc thẻ tin tưởng thông tin này và chuyển tiếp đến ngân hàng, ngân hàng phê duyệt giao dịch vì thấy mọi thứ đều hợp lệ.
Điều đáng chú ý là lỗ hổng này chỉ xảy ra với sự kết hợp cụ thể giữa iPhone và thẻ Visa. Với các điện thoại Samsung, tính năng thanh toán giao thông chỉ chấp nhận giao dịch 0 USD và dựa vào nhà cung cấp dịch vụ giao thông để tính tổng chi phí cuối ngày gửi hóa đơn sau.
Còn với thẻ Mastercard hoặc American Express, các hãng này sử dụng phương pháp mã hóa bất đối xứng bắt buộc trong mọi giao dịch, giúp phát hiện ngay khi dữ liệu bị chỉnh sửa. Ngược lại, Visa chỉ yêu cầu mã hóa bất đối xứng trong một số trường hợp nhất định, chẳng hạn khi máy đọc thẻ ngoại tuyến. Khi máy đọc thẻ đang trực tuyến như trong cuộc tấn công này, Visa chỉ dựa vào lớp mã hóa đối xứng giữa thẻ và ngân hàng — lớp bảo mật không đủ để phát hiện dữ liệu đã bị giả mạo.
Sau khi hai giáo sư thông báo riêng cho Apple và Visa về lỗ hổng này, thông tin được công bố công khai năm 2021. Tuy nhiên, đến nay năm 2026, không bên nào thực hiện thay đổi kỹ thuật để vá lỗ hổng. Apple tuyên bố đây là vấn đề thuộc về hệ thống Visa, trong khi Visa cho rằng kiểu gian lận này "rất khó xảy ra trong thực tế" và nhấn mạnh chính sách zero liability bảo vệ chủ thẻ — nghĩa là nạn nhân sẽ được hoàn tiền nếu tranh chấp thành công.
Để bảo vệ bản thân, người dùng iPhone có thể tắt tính năng Express Transit Mode trong cài đặt Apple Wallet hoặc tránh đặt thẻ Visa vào vị trí thanh toán giao thông. Tuy nhiên, cần lưu ý rằng ngay khi thêm một thẻ phù hợp vào Apple Wallet, Express Transit Mode sẽ tự động được bật theo mặc định.
Nguyễn Hải
