Peneliti Inggris temukan kerentanan di Apple Pay
Fitur Express Transmit yang ada di iOS untuk menjalankan Apple Pay dilaporkan memiliki kerentanan dan berpotensi untuk dieksploitasi oleh peretas.
Para peneliti di Inggris menemukan kelemahan di Apple Pay, memungkinkan peretas melakukan pembayaran tanpa kontak, yang tidak membutuhkan izin penggunanya. Berasal dari University of Birmingham dan University of Surrey, peneliti menerbitkan sebuah makalah yang menjelaskan metode di mana kelemahan ini dapat dieksploitasi. Peretas bahkan dapat melewati layar kunci iPhone dengan metode ini.
Menurut makalah yang dikutip dari BGR (4/10), fitur Express Transit pada iPhone adalah inti masalah dari kelemahan ini. Fitur tersebut pertama kali dikenalkan pada iOS 12.3. Dengan Express Transit, pengguna dapat dengan cepat melakukan transaksi melalui e-wallet.
Seperti dicatat oleh Apple di halaman dukungannya, pengguna tidak perlu memvalidasi dengan Face ID, Touch ID, atau kode sandi untuk menyelesaikan transaksi lewat fitur ini. Express Transit yang dimaksudkan untuk kenyamanan pengguna malah menjadi kunci eksploitasi oleh para peretas.
Para peneliti menjelaskan, pembaca tiket mengirimkan urutan byte non-standar yang mampu melewati layar kunci iPhone. Mereka menyebutnya sebagai “magic byte” dalam makalah penelitian tersebut. Ini memungkinkan Express Transit dan fitur serupa di perangkat lain berfungsi.
Kemudian, Apple Pay akan memeriksa untuk memastikan apakah semua persyaratan pembayaran terpenuhi. Dan jika memenuhi, Apple Pay akan memproses pembayaran.