idNSA - Peneliti keamanan siber telah menemukan cacat yang belum diperbaiki di Apple Pay yang dapat disalahgunakan oleh penyerang untuk melakukan pembayaran Visa yang tidak sah dengan kondisi iPhone yang terkunci dengan memanfaatkan fitur Express Travel yang diatur di apple pay.
"Seorang penyerang hanya butuh merampas, beberapa tenaga dari iPhone. Transaksi juga dapat dilakukan dari iPhone melalui tas seseorang, tanpa sepengetahuan mereka," sekelompok akademisi dari Universitas Birmingham dan University of Surrey mengatakan . "Penyerang tidak memerlukan bantuan dari pedagang dan pemeriksaan deteksi penipuan backend yang tidak menghentikan pembayaran."
Express Travel adalah fitur yang memungkinkan pengguna iPhone dan Apple Watch melakukan pembayaran nirsentuh cepat untuk angkutan umum tanpa harus membuka kunci perangkat, membuka aplikasi, atau bahkan memvalidasi dengan Face ID, Touch ID, atau kode sandi.
Serangan replay dan relay man-in-the-middle ( MitM ) , yang melewati layar kunci untuk melakukan pembayaran ke analisis EMV yang dilakukan dimanapun secara ilegal, kombinasi ini memiliki kelemahan pada sistem Apple Pay dan Visa. Kelemahan ini tidak mempengaruhi beberapa fitur lain seperti , Mastercard di Apple Pay atau kartu Visa di Samsung Pay.
Penyerang keamanan operandi bergantung pada peniru transaksi gerbang transit dengan menggunakan perangkat Proxmark yang bertindak sebagai pendeteksi kartu EMV yang berkomunikasi dengan iPhone korban dan aplikasi Android berkemampuan NFC yang berfungsi sebagai emulator kartu untuk menyampaikan sinyal ke terminal pembayaran.
Secara khusus, ini memanfaatkan kode unik — alias Magic Bytes — yang menyebarkan ke gerbang transit untuk membuka kunci Apple Pay, menghasilkan skenario dimana memutar ulang urutan byte, perangkat Apple yang ditipu untuk mengizinkan transaksi jahat seolah-olah itu berasal dari transaksi tiket, tetapi kenyataannya, telah terjadi penyerangan melalui terminal tanpa diketahui pemilik Apple Pay.
Pada saat yang sama, EMV juga tertipu untuk melakukan otentikasi pengguna pada perangkat yang telah digunakan penyerang, sehingga memungkinkan pembayaran dalam jumlah berapapun dilakukan tanpa sepengetahuan pengguna iPhone.
