Singapore, Black Hat Asia 2018 – Menurut Zhe Zhou, seorang profesor asosiasi di Fudan University, melakukan pembayaran via smartphone benar-benar berbahaya. Dia kemarin menjelaskan tentang kerentanan sistem pembayaran seluler dan bagaimana tiga metode pembayaran yang berbeda dapat di crack dalam acara Black Hat Asia 2018 di Marina Bay Sands, Singapura.
Dalam sesi berjudul “All your payment tokens are mine: Vulnerabilities of mobile payment systems”, Zhe mengatakan pembayaran seluler memiliki dua kerentanan: token tidak dienkripsi; dan token tidak terikat pada satu transaksi, sehingga dapat digunakan kembali dan/atau dibajak.
Loading...
Reload document
Open in new tab Zhe menjelaskan bahwa pembayaran seluler melihat smartphone menghasilkan token satu kali yang diteruskan ke terminal tempat penjualan. Setelah token dipertukarkan dan diverifikasi oleh server pembayaran di suatu tempat, token itu tidak akan diterima lagi.
Oleh karena itu trik untuk menggunakan token hasil panen adalah untuk menghentikan mereka sebelum ke titik terminal penjualan, kemudian menggunakan token untuk transaksi lain dengan nilai yang lebih tinggi sebelum kadaluarsa.
Zhe mengatakan mungkin untuk melakukannya dengan smartphone yang dapat meniru kartu magnetik. Smartphone dapat melakukan trik itu berkat teknologi yang disebut “Magnetic Secure Transmission” (MST) yang melihat mereka memancarkan energi elektromagnetik dari koil yang digunakan untuk pengisian nirkabel.
Zhe mengatakan MST diperkirakan memiliki kisaran tujuh sentimeter, tetapi kit komersial seharga US$25 mampu mendeteksi gelombang dari jarak dua meter. Dengan melakukan itu mereka juga dapat menghentikan sinyal mencapai titik terminal penjualan dan memanen token yang tidak terpakai.
Pembayaran menggunakan suara, teknik yang digunakan oleh sistem “Tez” Google India dapat dibajak dengan cara yang sama. Zhe mengatakan pembayaran suara sering digunakan dalam mesin penjual dan tidak sulit untuk mencatat kode, baik dari dekat mesin atau dengan modifikasi yang tidak terduga. Jika mesin penjual otomatis menggunakan koneksi nirkabel untuk memverifikasi token, jammer dapat menghentikannya. Sekali lagi, penyerang berakhir dengan token yang valid.
Dalam serangan yang cerdik, Zhe menargetkan kode QR yang digunakan sebagai token untuk beberapa pembayaran. Untuk token seperti itu taktiknya adalah diam-diam menyalakan kamera depan smartphone untuk memotret refleksi kode QR di tempat perlindungan scanner titik penjualan.
Serangan ini juga mendeteksi konfigurasi kode QR dan secara halus mengubah tampilannya agar tidak terbaca. Malware yang menjalankan serangan pada smartphone, bagaimanapun, berhasil mempertahankan kode QR yang sempurna dan dapat digunakan.
Teknik ini juga dapat digunakan untuk membuat kode QR berbahaya yang ketika digunakan untuk pembayaran smartphone ke smartphone, melihat mesin korban yang diarahkan untuk mengunduh dan menjalankan malware.
Zhe menyimpulkan dengan merekomendasikan bahwa semua pertukaran token untuk pembayaran seluler harus dienkripsi dan menambahkan mekanisme respon tantangan. Dia juga mengatakan token pembayaran seluler harus selalu terikat pada satu transaksi sehingga token tidak dapat digunakan kembali untuk transaksi yang lain.
Kalian bisa bisa mendownload white-paper mengenai penelitian ini di:
Loading...
