Cercetătorii de securitate cibernetică de la universitățile din Birmingham și Surrey au demonstrat un atac ce poate fi aplicat cardurilor Visa setate în modul „Express Transit” al funcției Apple Pay. Funcția este destinată efectuării unor plăți contactless rapide fără a fi necesară deblocarea iPhone-ului, precum în cazul plăților la automatul de bilete de la metrou.

Atacul implică amplasarea iPhone-ului lângă un echipament radio, cu rolul de a simula un automat de bilete, și utilizarea unui dispozitiv Android, ce poate fi localizat oriunde pe glob, rulând o aplicație pentru transmiterea semnalului de la iPhone la un terminal de plată contactless. Comunicațiile iPhone-ului cu terminalul de plată sunt modificate astfel încât iPhone-ul consideră că a fost deblocat iar plata a fost autorizată. Astfel, cercetătorii au realizat o tranzacție de £1000.  

În acest context, Visa a transmis că atacul este „impracticabil”, în timp ce Apple a indicat că problema se află la nivelul sistemelor Visa, însă frauda este dificil de realizat, luând în considerare nivelurile de securitate multiple. Totuși, cercetătorii consideră că există îngrijorări reale pentru dispozitivele pierdute sau furate.