Oblíbená značka telefonů má problém, kvůli oblíbené funkci přichází lidé o peníze

V polovině dubna 2026 zveřejnil populárně-vědecký kanál Veritasium demonstraci, při které z uzamčeného iPhonu odešlo 10 000 dolarů, bez Face ID, bez kódu, bez jakéhokoli souhlasu majitele. Nešlo o hollywoodský trik. Šlo o zranitelnost, kterou akademici z univerzit v Birminghamu a Surrey popsali už v roce 2021 a kterou podle dostupných informací dodnes nikdo neopravil. Problém se netýká celého Apple Pay. Týká se jedné konkrétní, ale nepříjemné kombinace: iPhone, karta Visa a zapnutý expresní režim pro dopravu.

Co je Express Transit a proč existuje

Express Transit, který Apple v češtině označuje jako expresní režim, je funkce zavedená v iOS 12.3 v květnu 2019. Její smysl je prostý: když přiložíte iPhone k turniketu v metru nebo k terminálu v autobuse, platba proběhne okamžitě. Nemusíte telefon odemykat, nemusíte potvrzovat obličejem ani otiskem prstu. Stačí přiložit. Podle Apple expresní režim funguje dokonce i při vybité baterii, díky energetické rezervě až pět hodin.

Pro cestující v londýnském metru nebo tokijském vlaku je to pohodlí. Pro útočníka se speciálním vybavením jsou to otevřené dveře.

Jak útok funguje a proč jen s Visa

Výzkumníci v akademickém článku detailně popsali scénář typu man-in-the-middle. Útočník pomocí vlastního NFC zařízení simuluje dopravní terminál, iPhone rozpozná „dopravní“ signál a povolí platbu bez ověření uživatele. Komunikace se přitom přes přenosový článek přesměruje na skutečný platební terminál, kde proběhne reálná transakce. Klíčové je, že útok obchází i bezkontaktní limit, takže částka může být vysoká.

Proč to funguje jen s Visa a ne s Mastercard?

• Visa na svém backendu nekontroluje, zda iPhone skutečně ověřil identitu uživatele (tzv. CDCVM) a zda kód obchodníka odpovídá dopravnímu systému. Pokud telefon řekne „jsem v dopravě, pusť platbu“, Visa ji pustí.
• Mastercard tyto hodnoty kontroluje. Vysoká částka bez ověření uživatele jednoduše neprojde.
• American Express podle mediálních zpráv z dubna 2026 používá jiné bezpečnostní mechanismy a útok s ní rovněž nefungoval.

Google Pay se v tomto konkrétním scénáři chová bezpečněji, pokud telefon nebyl odemčen, Visa transakci vyžadující autentizaci ukončí. Ovšem stejný výzkum upozorňuje, že jiný, starší typ útoku proti Google Pay stále fungoval. Absolutně bezpečný není nikdo.

Pět let a žádná oprava

Výzkumníci kontaktovali Apple i Visa v rámci standardního zodpovědného zveřejnění ještě před publikací článku v září 2021. Odpověď? Přehazování odpovědnosti. Apple tvrdil, že Visa má na backendu kontrolovat, zda neověřená transakce pochází skutečně z dopravního prostředí. Visa naopak prohlásila, že problém se týká Apple Pay a oprava je na Applu. Výzkumníci navrhli omezení na nízké nebo nulové částky, ale Apple namítl, že některé dopravní systémy potřebují nenulové platby.

Výsledek: pat. A ten trvá. Když 9to5Mac 15. dubna 2026 znovu oslovil obě strany, zranitelnost stále nebyla opravená.

Důležitá poznámka: ve veřejně dostupných zdrojích jsme nenašli doložený případ, kdy by byl útok zneužit mimo laboratorní nebo mediálně kontrolované prostředí. Visa dlouhodobě argumentuje, že podobné útoky jsou v praxi obtížně škálovatelné. To je pravda, útočník potřebuje fyzickou blízkost, speciální hardware a oběť s konkrétním nastavením. Ale „obtížně škálovatelné“ neznamená nemožné, zvlášť u ukradeného telefonu.

Co to znamená pro české uživatele

V Česku Apple Pay podporují desítky bank a platit telefonem v obchodě nebo MHD je běžné. Jenže expresní režim pro dopravu, jak ho Apple definuje, tu nemá stejné zázemí jako v Londýně nebo New Yorku. Pražský dopravní podnik potvrzuje, že přes bezkontaktní terminály lze platit Apple Pay i Google Pay, ale jde o standardní bezkontaktní platbu, nikoli o Apple Express Transit jako odbavovací systém. PID Lítačka výslovně uvádí, že platební karta uložená v mobilním telefonu nemůže sloužit jako identifikátor.

Plošné riziko je tedy v českém prostředí podle všeho nižší než ve městech s plně integrovaným Express Transit. Přesto: pokud máte v Apple Pay kartu Visa nastavenou jako expresní pro dopravu, třeba proto, že jste ji aktivovali na cestách, riziko existuje i tady.

Jak se chránit a co dělat při krádeži

Ochrana je jednoduchá a zabere minutu:

1. Otevřete aplikaci Peněženka na iPhonu.
2. Klepněte na kartu Visa → Další (nebo tři tečky) → Podrobnosti karty → Nastavení Express Transit.
3. Pokud je Visa vybraná jako expresní karta, přepněte na jinou kartu (ideálně Mastercard) nebo expresní režim vypněte úplně.
4. Na Apple Watch: aplikace Watch → My Watch → Wallet & Apple Pay → Express Transit Card.

Pokud vám iPhone ukradnou, okamžitě zapněte Lost Mode přes iCloud. Apple uvádí, že označení zařízení jako ztraceného automaticky vypne Apple Pay, což je rychlejší a spolehlivější než volat bance.

A kdyby přece jen došlo k neautorizované transakci? Visa v rámci své Zero Liability Policy deklaruje, že držitel nenese odpovědnost za neautorizované platby, reklamaci řešíte přes svou banku. V EU navíc směrnice PSD2 stanoví, že u neautorizované transakce má být plátce neprodleně refundován, s maximální spoluúčastí typicky 50 eur, pokud nejednal hrubě nedbale.

Pět let stará chyba, dvě firmy s bilionovými valuacemi a oprava, která stále nikde. Zatím nejúčinnější záplatu nainstalujete sami, v nastavení Peněženky, za třicet sekund.