Sebuah tim penelitian dari Swiss telah menemukan celah keamanan yang dapat disalahgunakan untuk bypass kode PIN pembayaran Visa contactless.
Ini berarti bahwa jika penjahat pernah memiliki kartu Visa contactless curian, mereka dapat menggunakannya untuk melakukan transaksi pembayaran, di atas batas transaksi contactless, dan tanpa perlu memasukkan kode PIN kartu.
Menurut tim penelitian tersebut, operasi dari serangan ini sangat tersembunyi dan dapat dengan mudah disalahartikan atau disamarkan sebagai pelanggan yang melakukan pembayaran menggunakan dompet seluler/digital yang dipasang di ponsel cerdas mereka.
Namun, pada kenyataannya, penyerang sebenarnya membayar dengan data yang diterima dari kartu Visa contactless curian yang disembunyikan di tubuh penyerang.
Menurut tim peneliti, serangan yang berhasil membutuhkan empat komponen: (1+2) dua smartphone Android, (3) aplikasi Android khusus yang dikembangkan oleh tim peneliti, dan (4) kartu Visa contactless.
Aplikasi Android diinstal pada dua smartphone, yang akan berfungsi sebagai emulator kartu dan emulator POS (Point-Of-Sale).
Smartphone yang berfungsi sebagai emulator perangkat POS diletakkan dekat dengan kartu curian, sedangkan smartphone yang berfungsi sebagai emulator kartu digunakan untuk transaksi pembayaran.
Seluruh ide di balik serangan ini adalah bahwa emulator POS meminta kartu untuk melakukan pembayaran, mengubah detail transaksi, dan kemudian mengirimkan data yang dimodifikasi melalui WiFi ke smartphone kedua yang melakukan pembayaran tanpa perlu memberikan PIN (karena penyerang telah mengubah data transaksi sehingga PIN tidak diperlukan).
“Aplikasi kami tidak memerlukan hak akses root atau peretasan canggih apa pun ke Android dan kami telah berhasil menggunakannya di perangkat Pixel dan Huawei,” kata peneliti.
Di tingkat teknis, para peneliti mengatakan serangan itu bisa terjadi karena apa yang mereka gambarkan sebagai kerentanan desain dalam standar EMV dan dalam protokol Visa contactless.
Masalah tersebut memungkinkan penyerang untuk mengubah data yang terlibat dalam transaksi contactless, termasuk bidang yang mengontrol detail transaksi dan jika pemilik kartu telah diverifikasi.
“Serangan itu terdiri dari modifikasi objek data yang bersumber dari kartu – Card Transaction Qualifiers – sebelum mengirimkannya ke terminal,” tambah peneliti. “Modifikasi tersebut menginstruksikan terminal bahwa: (1) verifikasi PIN tidak diperlukan, dan (2) pemegang kartu telah diverifikasi pada perangkat konsumen (misalnya, smartphone).”
Modifikasi ini dilakukan pada smartphone yang menjalankan emulator POS, sebelum dikirim ke smartphone kedua, dan kemudian diteruskan ke perangkat POS sebenarnya, yang tidak akan dapat mengetahui apakah data transaksi telah dimodifikasi.
Masalah keamanan ini ditemukan pada awal tahun 2020 oleh akademisi dari Swiss Federal Institute of Technology (ETH) di Zurich.
Peneliti ETH Zurich mengatakan mereka menguji serangan mereka di dunia nyata, di toko nyata, tanpa menghadapi masalah apa pun. Serangan itu berhasil bypass PIN pada kartu Visa Credit, Visa Electron, dan VPay, kata mereka.
Tim ETH Zurich mengatakan bahwa mereka sudah melaporkan temuan mereka ini kepada pihak Visa.
Baca Juga: “VISA Rilis AI Untuk Antisipasi Fraud“
Pada saat penelitian celah keamanan ini, tim peneliti mengatakan bahwa mereka menggunakan versi modifikasi dari alat yang disebut Tamarin, yang sebelumnya digunakan untuk menemukan kerentanan kompleks dalam protokol kriptografi TLS 1.3 [PDF] dan dalam mekanisme otentikasi 5G [PDF].
Selain bypass PIN pada kartu Visa contactless, alat tersebut juga digunakan dalam penelitian masalah keamanan kedua, yang memengaruhi Mastercard dan Visa. Peneliti menjelaskan:
“Analisis simbolis kami juga mengungkapkan bahwa, dalam transaksi contactless offline dengan Visa atau kartu Mastercard lama, kartu tersebut tidak mengotentikasi ke terminal ApplicationCryptogram (AC), yang merupakan bukti kriptografi yang diproduksi oleh kartu dari transaksi yang tidak dapat diverifikasi terminal (hanya penerbit kartu yang dapat melakukannya). Hal ini memungkinkan penjahat untuk mengelabui terminal agar menerima transaksi offline yang tidak autentik. Nanti, ketika pengakuisisi mengirimkan data transaksi sebagai bagian dari catatan kliring, bank penerbit akan mendeteksi kriptogram yang salah, tapi penjahatnya sudah lama pergi dengan barangnya.”
Tidak seperti celah keamanan pertama, tim peneliti mengatakan bahwa mereka tidak menguji serangan kedua ini di dunia nyata karena alasan etis, karena ini akan menipu para pedagang.
Rincian tambahan tentang penelitian ini dapat ditemukan dalam makalah berjudul “The EMV Standard: Break, Fix, Verify.” Peneliti juga dijadwalkan untuk mempresentasikan temuan mereka ini di IEEE Symposium on Security and Privacy, tahun depan, pada Mei 2021.
