Bayangkan iPhone Anda berada di saku Anda, terkunci sepenuhnya, namun seseorang berhasil menarik ribuan dolar dari dompet digital Anda tanpa menyentuh layar atau memerlukan pengenalan wajah! Ini mungkin terdengar seperti sesuatu yang keluar dari film fiksi ilmiah, tetapi sebenarnya terjadi dalam eksperimen nyata, meskipun kontroversial. Para peneliti keamanan dari Universitas Surrey dan Birmingham melakukan serangan canggih yang menargetkan iPhone milik YouTuber populer Marcus Brownlee (MKBHD), dan berhasil menarik uang sebesar $10,000 dari perangkatnya yang terkunci.
Trik transportasi berkecepatan tinggi
Serangan tersebut, yang disorot oleh saluran Veritasium yang populer, mengeksploitasi kerentanan dalam Mode Transit Ekspres Apple Pay. Fitur ini dirancang untuk memungkinkan pembayaran cepat di stasiun kereta bawah tanah dan bus tanpa perlu membuka kunci iPhone Anda atau menggunakan Face ID. Namun, para peneliti menemukan cara untuk mengelabui ponsel agar mengira berada di gerbang stasiun transit padahal sebenarnya berada di pembaca kartu palsu.
Hal ini memerlukan akses fisik ke perangkat dan peralatan khusus. Pembaca NFC yang terhubung ke laptop digunakan untuk mencegat koneksi. ID pembaca NFC kemudian dimodifikasi agar sesuai dengan ID terminal resmi, dan data pembayaran yang dikumpulkan dikirim ke ponsel lain (ponsel yang telah disusupi) yang ditempatkan di dekat pembaca kartu yang sah untuk menyelesaikan pencurian.
Mengapa kartu Visa secara khusus?
Yang menarik dari kerentanan ini adalah bahwa kerentanan ini hanya berfungsi dengan kombinasi yang sangat spesifik: iPhone dan kartu Visa. Ternyata masalahnya bukan pada sistem operasi Apple itu sendiri, melainkan pada protokol keamanan Visa untuk menangani transaksi transfer ekspres. Serangan ini tidak berfungsi dengan kartu Mastercard atau American Express karena perusahaan-perusahaan ini menggunakan metode keamanan yang berbeda yang tidak dapat ditipu dengan cara yang sama.
Pengguna perangkat Samsung dan layanan Samsung Pay juga aman dari jenis serangan ini, yang menempatkan tanggung jawab pada Visa dan Apple untuk mengklarifikasi siapa yang bertanggung jawab atas celah keamanan ini yang memungkinkan untuk melewati batasan transaksi tradisional dan menarik sejumlah besar uang hingga ribuan dolar dalam satu operasi.
Apakah Anda perlu mengkhawatirkan uang Anda?
Menanggapi insiden ini, Apple menyatakan bahwa masalah tersebut terkait dengan sistem Visa dan bahwa penipuan semacam itu tidak mungkin terjadi di dunia nyata karena kompleksitas teknis dan akses fisik yang dibutuhkan. Visa, di sisi lain, menekankan bahwa pemegang kartunya dilindungi oleh kebijakan "nol tanggung jawab", yang berarti bahwa setiap transaksi penipuan semacam ini dapat dengan mudah dipulihkan.
Sederhananya, Anda tidak perlu khawatir.
Para ahli percaya bahwa melakukan serangan skala besar di jalanan akan sangat sulit, tetapi ini menjadi pengingat penting bahwa teknologi, seberapa pun amannya, selalu dapat mengandung kerentanan yang tidak terduga. Jika Anda khawatir, saran paling sederhana adalah menghindari penggunaan kartu Visa sebagai sumber utama untuk "Transportasi Cepat" di iPhone Anda, atau cukup nonaktifkan fitur tersebut jika Anda tidak menggunakan transportasi umum yang didukung.
Sumber:
5 ulasan