Pernahkah terbayang di benak Anda bahwa seseorang bisa menguras saldo rekening hingga ratusan juta rupiah dari smartphone Anda, tanpa perlu mengetahui password, tanpa Face ID, dan bahkan saat layar smartphone Anda sedang terkunci rapat?
Terdengar seperti adegan film fiksi ilmiah, namun ini adalah realitas celah keamanan siber yang sangat mengerikan. Baru-baru ini, saya menyimak sebuah eksperimen keamanan yang dilakukan oleh kreator edukasi sains, Veritasium, bersama tech-reviewer kondang Marques Brownlee (MKBHD). Dalam demonstrasi tersebut, mereka berhasil “mencuri” $10.000 (sekitar Rp150 juta) dari iPhone milik Marques hanya dengan menempelkan sebuah alat pembaca (reader) di dekat ponselnya yang terkunci.
Bagi kita yang mulai terbiasa dengan gaya hidup cashless dan fitur NFC pembayaran instan, ini adalah alarm keras. Mari kita bedah bagaimana bahaya tap to pay ini bisa terjadi dan mengapa celah ini dibiarkan terbuka bertahun-tahun oleh raksasa teknologi.
Celah Serangan “Man-in-the-Middle”
Eksperimen pencurian ini mengeksploitasi celah yang sangat spesifik: kombinasi antara Apple Pay, fitur Express Transit Mode, dan kartu kredit Visa.
Hacker tidak menjebol password iPhone, melainkan menggunakan teknik Man-in-the-Middle attack. Mereka meletakkan sistem peretas di tengah-tengah komunikasi radio antara ponsel korban dan mesin kasir (payment terminal). Untuk mencuri uang dari ponsel yang terkunci, ada tiga “kebohongan” digital yang dikirimkan oleh hacker secara real-time:
1. Memanipulasi Fitur Tiket Transportasi (Transit Mode)
Apple memiliki fitur Express Transit Mode yang memungkinkan pengguna membayar tiket kereta atau bus hanya dengan menempelkan ponsel tanpa perlu membuka kunci layar (unlock). Hacker menyiarkan sinyal palsu yang membuat iPhone korban mengira bahwa ia sedang berada di gerbang tiket stasiun. Ponsel pun merespons dan membuka jalur pembayaran tanpa meminta Face ID atau PIN.
2. Membohongi Ponsel soal Nominal Transaksi
Jika sebuah mesin tiket tiba-tiba menagih $10.000, sistem iPhone pasti akan curiga dan memblokirnya. Namun, sistem Apple Pay ternyata tidak membaca nominal angka transaksinya secara spesifik. Ia hanya membaca satu “bit” data yang memberi label apakah ini transaksi High Value (nilai tinggi) atau Low Value (nilai rendah). Hacker meretas sinyal ini di udara dan mengubah bit-nya menjadi nol (Low Value). iPhone pun dengan polosnya menyetujui transaksi raksasa tersebut karena mengira itu hanya pembayaran tiket kereta yang murah.
3. Membohongi Mesin Kasir
Setelah iPhone setuju, mesin kasir yang asli akan menolak transaksi jika tidak ada bukti verifikasi PIN atau wajah dari pengguna (karena mesin tahu tagihannya adalah $10.000). Sekali lagi, hacker mencegat data tersebut di udara dan mengubah satu bit terakhir, memberi tahu mesin kasir: “Tenang, pengguna sudah memasukkan PIN-nya secara manual.” Mesin kasir pun meneruskan data ke bank, dan uang Rp150 juta melayang seketika.
Mengapa Apple dan Visa Membiarkan Ini?
Fakta yang paling mencengangkan adalah: celah keamanan ini sudah ditemukan oleh pakar keamanan siber dan dilaporkan sejak tahun 2021. Lalu, mengapa tidak ditambal?
Ketika dikonfirmasi, Apple dan Visa terkesan saling lempar tanggung jawab. Apple berdalih bahwa ini adalah masalah di sistem verifikasi jaringan Visa. Di sisi lain, pihak Visa merasa ini bukanlah ancaman struktural yang masif. Menurut mereka, serangan ini membutuhkan alat khusus dan kondisi yang rumit, sehingga sangat kecil kemungkinannya terjadi di dunia nyata untuk menipu orang awam.
Visa juga berargumen bahwa mereka memiliki kebijakan Zero Liability. Artinya, jika Anda menjadi korban, bank akan mengembalikan uang Anda secara utuh setelah Anda melaporkan dan menyengketakan transaksi tersebut.
Catatan Keselamatan Digital
Jawaban dari pihak perusahaan raksasa tersebut mungkin terdengar rasional dari sisi statistik bisnis, namun bagi kita sebagai pengguna akhir, ini adalah sebuah teror. Bayangkan Anda bangun pagi dan melihat saldo puluhan juta lenyap untuk transaksi yang tidak pernah Anda lakukan. Meskipun uangnya berjanji akan dikembalikan, proses investigasi birokrasi bank dan stres psikologis tetap harus kita tanggung sendiri.
Sebagai langkah mitigasi dari bahaya tap to pay ini, sangat disarankan untuk mematikan fitur Express Transit Mode di pengaturan Apple Wallet Anda jika Anda tidak berada di negara yang mewajibkannya, atau setidaknya hindari menautkan kartu Visa ke dalam slot Transit tersebut.
Kenyamanan pembayaran digital dan cashless memang luar biasa, tetapi pastikan kita tetap menjadi pengguna yang selalu awas terhadap potensi eksploitasi di balik kemudahan tersebut.
(Catatan: Rangkuman kasus keamanan siber ini diadaptasi dari demonstrasi yang dilakukan oleh Veritasium. Jika Anda ingin melihat proses peretasan tersebut secara langsung, silakan tonton video aslinya di sini: How Secure Is Tap To Pay?).
