Peneliti Inggris temukan kerentanan di Apple Pay
Fitur Express Transmit yang ada di iOS untuk menjalankan Apple Pay dilaporkan memiliki kerentanan dan berpotensi untuk dieksploitasi oleh peretas.
Para peneliti di Inggris menemukan kelemahan di Apple Pay, memungkinkan peretas melakukan pembayaran tanpa kontak, yang tidak membutuhkan izin penggunanya. Berasal dari University of Birmingham dan University of Surrey, peneliti menerbitkan sebuah makalah yang menjelaskan metode di mana kelemahan ini dapat dieksploitasi. Peretas bahkan dapat melewati layar kunci iPhone dengan metode ini.
Menurut makalah yang dikutip dari BGR (4/10), fitur Express Transit pada iPhone adalah inti masalah dari kelemahan ini. Fitur tersebut pertama kali dikenalkan pada iOS 12.3. Dengan Express Transit, pengguna dapat dengan cepat melakukan transaksi melalui e-wallet.
Seperti dicatat oleh Apple di halaman dukungannya, pengguna tidak perlu memvalidasi dengan Face ID, Touch ID, atau kode sandi untuk menyelesaikan transaksi lewat fitur ini. Express Transit yang dimaksudkan untuk kenyamanan pengguna malah menjadi kunci eksploitasi oleh para peretas.
Para peneliti menjelaskan, pembaca tiket mengirimkan urutan byte non-standar yang mampu melewati layar kunci iPhone. Mereka menyebutnya sebagai “magic byte” dalam makalah penelitian tersebut. Ini memungkinkan Express Transit dan fitur serupa di perangkat lain berfungsi.
Kemudian, Apple Pay akan memeriksa untuk memastikan apakah semua persyaratan pembayaran terpenuhi. Dan jika memenuhi, Apple Pay akan memproses pembayaran.
Dalam kasus yang ditemukan peneliti, Apple Pay dapat dikelabui dengan memproses pembayaran tanpa kontak. Peneliti membuat tiruan pembaca tiket dan Apple Pay dapat melakukan pembayaran palsu dengan jumlah berapapun melalui iPhone mereka yang terkunci.
Sayangnya, baik Apple maupun Visa tidak melakukan apapun untuk menambal kerentanan ini. Appel mengatakan, solusi terbaik bagi Visa adalah menerapkan pemeriksaaan deteksi penipuan tambahan, secara eksplisit memeriksa Issuer Application Data (IAD) dan Merchant Category Code (MCC).
Sementara itu, Visa mengamati bahwa masalah tersebut hanya berlaku pada Apple Pay. Mereka menyarankan agar Apple memperbaiki hal tersebut. Namun, laporan menunjukkan kedua belah pihak tidak menerapkan perbaikan apapun sehingga kerentanan Apple Pay dan Visa masih tetap mengancam.
