Para peneliti telah menemukan kelemahan dalam cara kerja fitur Transit Ekspres Apple dengan kartu pembayaran Visa yang memungkinkan peretas menagih uang ke akun Visa Anda yang diatur di Apple Pay bahkan saat iPhone Anda terkunci.
Menurut BBC, para peneliti di departemen Ilmu Komputer Universitas Birmingham dan Universitas Surrey dapat melakukan pembayaran Visa tanpa kontak sebesar £1.000 dari iPhone yang terkunci, tanpa izin apa pun yang diperlukan dari pemilik perangkat.
Masalah, yang tampaknya terjadi secara khusus dengan kartu Visa, berkaitan dengan Apple Pay Express Transit, fitur yang diluncurkan Apple di iOS 12 yang memungkinkan Anda melakukan pembayaran tanpa kontak dengan cepat dari iPhone atau Apple Tonton tanpa membuka kunci perangkat Anda atau bahkan secara manual membuka kartu pembayaran tertentu.
Sebaliknya, pengguna menetapkan salah satu metode pembayaran mereka untuk digunakan secara khusus untuk Transit Ekspres di setelan iPhone Wallet & Apple Pay mereka. Saat iPhone atau Apple Watch diayunkan di dekat terminal pembayaran transit, tarif yang sesuai secara otomatis dipotong dari kartu pembayaran itu tanpa perlu otorisasi.
Dapat dimengerti, fitur ini sangat berguna untuk penumpang yang sibuk, dan sudah diluncurkan di kota-kota dari London hingga New York, di mana pengguna iPhone dan Apple Watch dapat dengan cepat dan mudah mengetuk perangkat mereka untuk membayar tarif lalu langsung melanjutkan perjalanan.
Sementara Express Transit tidak memerlukan otorisasi untuk pembayaran, sistem ini juga hanya digunakan untuk menangani transaksi yang lebih kecil — transaksi yang biasa terjadi pada tarif transit. Sayangnya, tampaknya Apple mengandalkan pemroses pembayaran untuk memberikan tindakan anti-penipuan yang diperlukan, dan sepertinya Visa mungkin tidak dapat menjawab tantangan tersebut.
‘Kekhawatiran dengan sistem Visa’
Menurut laporan BBC, juru bicara Apple mengembalikan masalah tersebut ke pundak Visa, dengan mengatakan bahwa itu adalah “keprihatinan dengan sistem Visa, ” dan sebenarnya bukan masalah Apple.
Meskipun Anda mungkin berpikir bahwa Apple harus mengambil tanggung jawab untuk menegakkan batas pembayaran pada fitur seperti Express Transit, juga adil untuk mengatakan bahwa itu bukan tugasnya dalam konteks ini, dan dalam faktanya perjanjiannya dengan Visa, Mastercard, dan lainnya bahkan dapat menghalangi Apple untuk terlibat dalam otorisasi transaksi, karena itu adalah tanggung jawab eksklusif mereka.
Peran Apple hanyalah menyampaikan informasi ke jaringan pembayaran dan membiarkan mereka menanganinya.
Karena masalah ini khusus untuk Visa — peneliti menguji skenario yang sama dengan Mastercard tetapi “menemukan bahwa cara kerja keamanannya mencegah serangan”, dan sumber lain mengindikasikan bahwa jaringan pembayaran lain seperti American Express memiliki perlindungan serupa.
Para peneliti juga mencatat bahwa mereka mendekati Apple dan Visa hampir setahun yang lalu dengan masalah ini, dan sementara mereka melakukan percakapan”berguna”, masalahnya tetap tidak terselesaikan.
Ketika dihubungi oleh BBC, Visa meremehkan masalah tersebut, dengan mengatakan bahwa serangan ini adalah “tidak praktis”, karena memerlukan peralatan yang agak khusus dan kontak yang sangat dekat dengan iPhone atau Apple Watch calon korban.
Kartu Visa yang terhubung ke Apple Pay Express Transit aman, dan pemegang kartu harus terus menggunakannya dengan percaya diri. Variasi skema penipuan nirsentuh telah dipelajari dalam pengaturan laboratorium selama lebih dari satu dekade dan telah terbukti tidak praktis untuk dilaksanakan dalam skala besar di dunia nyata.
Visa
Seorang juru bicara Apple pada dasarnya menyarankan bahwa itu sepenuhnya terserah pada Visa untuk memutuskan apakah ini masalah atau tidak, menambahkan bahwa kebijakan tanpa kewajiban perusahaan akan melindungi pemegang kartunya dari pembayaran tidak sah semacam itu.
Kami mengambil ancaman apa pun terhadap keamanan pengguna dengan sangat dengan serius. Ini adalah masalah dengan sistem Visa, tetapi Visa tidak percaya bahwa penipuan semacam ini mungkin terjadi di dunia nyata mengingat keamanan berlapis-lapis. Jika terjadi pembayaran yang tidak sah, Visa telah menjelaskan bahwa pemegang kartu mereka dilindungi oleh kebijakan tanpa kewajiban Visa.
Apple
Cara Kerjanya
Apple
Cara Kerjanya
tim peneliti mendemonstrasikan serangan tersebut dengan mengambil uang dari rekening mereka sendiri, menggunakan peralatan yang dimodifikasi secara khusus yang mengelabui iPhone agar mengira itu berbicara dengan sistem pembayaran transit.
Sementara grup secara alami tidak membahas secara spesifik, mereka mengatakan bahwa yang diperlukan hanyalah”peralatan radio kecil yang tersedia secara komersial”dan ponsel Android yang menjalankan aplikasi khusus.
Ponsel cerdas Android menyampaikan informasi dari iPhone ke terminal pembayaran nirsentuh lainnya, yang dapat berupa terminal di toko ritel mana pun, atau terminal yang dikontrol sendiri oleh para penjahat.
Pada dasarnya, yang terjadi di sini adalah karena iPhone yakin bahwa ia berbicara dengan terminal pembayaran transit yang sah, ia menyerahkan kredensial Visa tanpa membuka kuncinya. Informasi itu ditangkap dan”diputar ulang”ke terminal pembayaran yang sah, yang dapat diatur untuk membebankan jumlah berapa pun yang diputuskan oleh penyerang.
Telepon penyerang dan terminal pembayaran yang digunakan untuk mengotorisasi transaksi juga tidak perlu berada di dekat iPhone korban, yang berpotensi mempersulit pelacakan sumber serangan.
Bisa di benua lain dari iPhone selama ada koneksi internet.
Dr Ioana Boureanu, University of Surrey
Meskipun ada desakan Visa bahwa serangan tidak praktis, peneliti utama Dr. Andreea Radu mengatakan bahwa serangan kompleks yang berhasil di lab akhirnya digunakan oleh penjahat, terutama jika ada potensi hasil yang besar.
Ini memiliki beberapa kerumitan teknis – tetapi saya merasa imbalan dari melakukan serangan itu cukup tinggi. Dalam beberapa tahun ini mungkin akan menjadi masalah nyata.
Dr. Andreea Radu, Universitas Birmingham
Cara Melindungi Diri Anda
Agar lebih jelas, para peneliti hanya mendemonstrasikan serangan ini di lingkungan laboratorium, dan tidak ada bukti bahwa itu saat ini sedang dieksploitasi oleh siapa pun.
Ini tidak jauh berbeda dengan serangan kartu kredit nirsentuh yang telah menjadi rahasia umum selama lebih dari satu dekade sekarang, kecuali tentu saja fakta bahwa salah satu nilai jual Apple Pay adalah bahwa itu seharusnya lebih aman.
Selanjutnya, kartu nirsentuh fisik dapat ditempatkan di dalam dompet dengan pelindung RFID, tapi itu bukan pilihan untuk iPhone atau Apple Watch, yang keduanya juga lebih cenderung digunakan di tempat terbuka daripada disembunyikan di saku atau dompet Anda.
Untungnya, jika Anda khawatir akan menjadi korbannya, ada cara yang sangat mudah untuk melindungi diri Anda — jangan gunakan kartu Visa untuk Transit Ekspres. Berikut cara memeriksanya:
Buka aplikasi Setelan di iPhone Anda.Gulir ke bawah dan ketuk Dompet & Apple Pay.Di bawah Kartu Transit, ketuk Ekspres Kartu Transit. Kotak centang muncul di samping kartu yang sedang Anda gunakan untuk Transit Ekspres. Ketuk untuk memilih kartu alternatif, atau ketuk Tidak Ada untuk menonaktifkan Transit Ekspres sepenuhnya.
Jika Anda memiliki Apple Watch, Anda juga perlu memeriksanya, karena ini tidak terkait dengan setelan Transit Ekspres di iPhone Anda:
Buka aplikasi Jam di iPhone Anda.Gulir ke bawah dan ketuk Dompet & Apple Pay. Di bawah Kartu Transit, ketuk Kartu Transit Ekspres. Kotak centang muncul di samping kartu yang sedang Anda gunakan untuk Transit Ekspres. Ketuk untuk memilih kartu alternatif, atau ketuk Tidak Ada untuk menonaktifkan Transit Ekspres sepenuhnya.
Transit Ekspres juga tidak perlu diaktifkan sama sekali kecuali Anda tinggal di kota yang menyediakannya dan secara teratur menggunakan sistem transit kota tersebut. Dalam kasus ini, memilih “Tidak ada’adalah opsi yang paling aman.
