Peningkatan Dompet Seluler Berdampak pada Kebutuhan Keamanan

Penggunaan pembayaran seluler sedang meningkat! Menurut data industri, e-wallet digunakan oleh lebih dari dua miliar orang di seluruh dunia, dengan jutaan lainnya mengadopsi pembayaran seluler setiap tahun. Pada tahun 2021 total 25,7% pembayaran Point of Sale (POS) dilakukan menggunakan e-wallet dan 44,5% transaksi eCommerce dilakukan menggunakan dompet seluler, semakin menggantikan pembayaran tunai dan berbasis kontak.

Pandemi hanya mempercepat adopsi e-wallet. Tetapi adopsi yang meningkat ini juga mendapat perhatian dari penyerang dan organisasi kriminal dan meningkatkan kebutuhan akan keamanan aplikasi yang kuat dan canggih.

Apa itu e-wallet?

e-wallet memungkinkan konsumen untuk menggunakan smartphone, smartwatch, dan perangkat wearable pintar lainnya (misalnya cincin, gelang) untuk melakukan pembayaran nirsentuh melalui kode NFC1, MST2, dan QR. Seringkali e-wallet juga menawarkan fungsionalitas terkait seperti kartu keanggotaan dan loyalitas, kartu hadiah, pembayaran peer-to-peer, dan pembayaran dalam aplikasi.

Sejak diperkenalkannya Apple Pay dan Google Pay pada tahun 2014, banyak bank dan perusahaan fintech di seluruh dunia telah memperkenalkan e-wallet. Sementara Apple belum memungkinkan pengembang pihak ketiga untuk menggunakan NFC pada iPhonenya, Google memilikinya. Hal ini menyebabkan pengembangan luas solusi e-wallet untuk Android oleh puluhan penyedia teknologi dan bank.

Dalam praktiknya, ada dua jenis e-wallet:

  • E-wallet OEM (Original Equipment Manufacturer): e-wallet ini diproduksi oleh vendor smartphone dan diamankan oleh teknologi keamanan perangkat keras berpemilik (misalnya Trusted Execution Environment atau Secure Element) pada perangkat itu sendiri.
  • E-wallet pihak ketiga: Aplikasi pihak ketiga, seperti PayPal, tidak memiliki akses ke teknologi keamanan perangkat keras berpemilik pada perangkat. Pengembang e-wallet pihak ketiga termasuk penyedia teknologi yang biasanya menyediakan kit pengembangan perangkat lunak pembayaran (misalnya HCE3, SDK) dan pihak-pihak yang memiliki SDK pembayaran terintegrasi (Software Development Kits) dalam aplikasi pembayaran seluler akhir. 

Apakah e-wallet aman?

Untuk mengurangi risiko penipuan, e-wallet HCE menggunakan tokenisasi. Tokenisasi adalah proses di mana informasi sensitif, misalnya rincian kartu kredit seperti PAN4, diganti dengan token. Token adalah urutan angka acak yang dapat dibatasi dalam cara penggunaannya – misalnya, berapa kali digunakan dan jumlah pembayaran yang digunakan.

Sementara HCE dan tokenisasi dirancang untuk mengurangi risiko penipuan, e-wallet masih memproses data pembayaran yang dapat disalahgunakan oleh malware dan organisasi kriminal untuk melakukan penipuan pembayaran. Meskipun token pembayaran tidak dapat direkayasa ulang kembali ke nomor kartu kredit Anda, pencurian token pembayaran ini memungkinkan penjahat untuk melakukan pembayaran penipuan dengan mengorbankan pemegang e-wallet yang sah.

Masa depan keamanan pembayaran seluler

Seperti halnya uang tunai, cek, dan kartu, e-wallet tunduk pada penipuan dan penyalahgunaan. Dengan meningkatnya adopsi e-wallet dan pertumbuhan tanpa henti menggunakan smartphone untuk segala hal dan tujuan pembayaran secara umum, e-wallet menjadi target yang semakin menarik bagi penyerang. Tren ini juga terlihat jelas dalam peningkatan kerentanan seluler zero day yang dieksploitasi, naik 466% pada tahun 2021, dan jumlah malware seluler yang luas dan terus bertambah dengan lebih dari 2 juta strain baru pada tahun 2021.

Untuk mengamankan e-wallet, Produsen Peralatan Asli (OEM) memiliki opsi untuk menggunakan kemampuan keamanan perangkat keras seperti yang disebutkan di atas. Tetapi bagi pengembang e-wallet pihak ketiga, ini bukan pilihan yang layak sebagai akibat dari fragmentasi dalam teknologi OEM dan keterbatasan yang ditempatkan OEM untuk menggunakan kemampuan keamanan platform. Kedua, kenyataan telah menunjukkan bahwa teknologi platform OEM, seperti Trusted Execution Environments (TEEs) yang tertanam di smartphone, tunduk pada serangan dengan aliran berkelanjutan kerentanan dan eksploitasi zero-day yang dilaporkan.

Karena smartphone terus menjadi perangkat yang tidak tepercaya, pengembang solusi e-wallet perlu melindungi aplikasi e-wallet dan menjaga postur keamanan mereka tetap up-to-date dan di depan kemampuan penyerang dan perkakas penyerang yang terus berkembang.

Bagaimana Zimperium memungkinkan keamanan e-wallet

Sebelum diluncurkan untuk penggunaan umum, solusi pembayaran seluler harus disertifikasi oleh merek kartu (Visa/MasterCard) atau EMVCo. Mobile Application Protection Suite (MAPS) Zimperium  membantu pengembang solusi pembayaran seluler untuk membangun aplikasi seluler yang aman dan sesuai, serta mendapatkan sertifikasi keamanan aplikasi Anda dan siap dipublikasikan dengan cepat.

MAPS mengambil pandangan holistik tentang keamanan aplikasi seluler, dengan membantu pengembang Anda menemukan dan memperbaiki masalah kepatuhan, privasi, dan keamanan sebelum aplikasi dirilis, melindungi kunci dan kriptografi anda sehingga tidak dapat diekstraksi atau dicuri, menjaga kode sumber dan data Anda aman dari peretas, dan melindungi aplikasi Anda dari serangan lanjutan begitu mereka berada di pasar. Penundaan penyebaran adalah batu sandungan kritis, dan dengan Zimperium di pihak Anda, Anda dapat yakin bahwa Anda akan melakukannya dengan benar untuk pertama kalinya.

Meskipun keamanan adalah permainan kucing dan tikus yang berkelanjutan, Zimperium MAPS memberikan perlindungan yang terbukti dan berkelanjutan untuk aplikasi seluler Anda, bahkan terhadap serangan terbaru dan alat penyerang.