Oczywiście musi być on odpowiednio wyposażony. W tym celu konieczne jest oprogramowanie i mikroczytnik Square, który dostępny jest dla mobilnych urządzeń z systemami iOS czy Android. Docelowo technologia Square ma ułatwić życie niewielkim sprzedawcom, pozwalając wykorzystać posiadane przez nich smartfony czy tablety jako terminale płatnicze. Obecnie za pomocą takich terminali obsługiwane są płatności na kwotę około 4 milionów dolarów dziennie.
Niestety technologia ma słaby punkt, który pozwala wykorzystać ją do złodziejskiego procederu. Otóż czytnik Square przekazuje - za pomocą złącza słuchawkowego - informacje z zeskanowanej karty do smartfona lub tabletu, na którym zainstalowano odpowiednie oprogramowanie obsługujące transakcje finansowe.
Pokaz, jak wykorzystać słabość Square, przeprowadzili Adam Laurie i Zac Franken z Aperture Labs na konferencji Black Hat, poświęconej sprawom bezpieczeństwa.
Według nich urządzenie korzystające z technologii Square można wykorzystać do wykonywania płatności w pełni elektronicznych, bez konieczności fizycznego przesuwania karty przez czytnik, a nawet posiadania jej kopii. Jest to możliwe dzięki 100 liniom kodu, które pozwalają przekonwertować dane z paska magnetycznego, lub po prostu informacje o danej karcie, w sygnał dźwiękowy. Taki plik audio z sekwencją pisków przesłany poprzez złącze dźwiękowe zostanie zinterpretowany jak prawdziwa sekwencja danych z karty przesuniętej przez czytnik.
To nie wszystko. Właściciel takiego miniaturowego terminala w smartfonie ma dostęp do wszystkich danych, które wprowadzane są do systemu po przesunięciu karty w czytniku. Dlaczego? Otóż nie są one w żaden sposób zabezpieczone, a sygnał audio zawierający dane o karcie można zdekodować do postaci czytelnej dla złodzieja. Tym samym taki smartfon czy tablet wraz ze Square staje się niezłym narzędziem do skimmingu (wykradania danych kart płatniczych). A płacący kartą nawet nie będzie zdawał sobie sprawy, że dane są wykradane.
Jak widać obecna wersja oprogramowania Square nie jest w stanie rozpoznać czy sygnał pochodzi z podłączonego czytnika kart, czy jest zwykłym plikiem dźwiękowym. Na reakcję producenta nie trzeba było długo czekać. Kolejne wersje czytnika i oprogramowania będą ulepszone, w tym wprowadzone zostanie szyfrowanie przesyłanego do smartfona strumienia danych. Zanim Square na dobre się rozpowszechni, powinien być już odporny na opisane powyżej działania.
Więcej o bezpieczeństwie w technologiach mobilnych:
- iPad: uważaj na podglądaczy, chroń hasła i dane
- Aplikacje do smartfonów pójdą do sądu
- Bezpieczeństwo sieci WiFi w Polsce 2010/2011 cz. 8
- Android naraża na atak 99,7% użytkowników
Źródło: CNET
Komentarze
14To by było tyle ;)
Amen