นักวิจัยจากมหาวิทยาลัยเบอร์มิงแฮมและมหาวิทยาลัยเซอร์รีย์ ได้ตีพิมพ์บทความเรื่อง “Practice EMV Relay Protection” ระบุว่า การจ่ายเงินแบบ Contactless ชอง iPhone ร่วมกับ VISA นั้นมีช่องโหว่ ทำให้แฮกเกอร์สามารถใช้ iPhone ของคนอื่นที่อยู่ใกล้ตัวจ่ายเงินให้แฮกเกอร์ได้แบบไม่จำกัดจำนวนครั้ง และที่สำคัญคือ เจ้าของเครื่องนั้นไม่มีทางรู้ตัวได้เลย
โดยปกติแล้วการจ่ายเงินแบบ Contactless ผู้ส่งและผู้รับจะต้องอยู่ด้วยกันในระยะประชิด และจะต้องยืนยันตัวตนด้วย รหัส, ลายนิ้วมือ, ใบหน้า, หรือ OTP ก่อนทำการจ่ายเงิน แต่เมื่อปี 2019 Apple เปิดตัวฟีเจอร์ “Express Transit/Travel” ช่วยอำนวยความสะดวกให้กับผู้ใช้สามารถจ่ายเงินได้โดยที่ไม่ต้องปลดล็อคโทรศัพท์ เพื่ออำนวยความสะดวกในการชำระเงิน แต่ก็เป็นช่องโหว่ให้นักวิจัยสามารถเข้าถึงการจ่ายเงินของผู้ใช้ iPhone ได้แบบไม่จำกัดทำซ้ำได้เลื่อยๆ จนหมดตัว
โดยเงื่อนไขของช่องโหว่นี้ ผู้ใช้โทรศัพท์ iPhone จะต้องที่ผูกบัตรเครดิต หรือเดบิตของ Visa ไว้กับเครื่อง และเปิดโหมดการชำระเงินแบบ “Express Travel” ไว้ จากนั้นให้แฮกเกอร์จะต้องเข้าประชิดตัวเหยื่อในระยะทำงานของสัญญาณ NFC ประมาณ 2-10 ซ.ม. จึงจะสามารถใช้ช่องโหว่นี้ได้
เบื่องต้นสำหรับผู้ใช้ iPhone ที่ผูกบัตรเครดิต หรือเดบิตของ Visa อยู่แนะนำให้ปิดการทำงานของ “Express Travel” ไว้ก่อนเพื่อความปลอดภัยจนกว่าทาง Apple หรือ Visa จะทำการปรับปรุงแก้ไข