Akcesoria

Smartfon może kraść dane z kart płatniczych

Oczywiście musi być on odpowiednio wyposażony. W tym celu konieczne jest oprogramowanie i mikroczytnik Square, który dostępny jest dla mobilnych urządzeń z systemami iOS czy Android. Docelowo technologia Square ma ułatwić życie niewielkim sprzedawcom, pozwalając wykorzystać posiadane przez nich smartfony czy tablety jako terminale płatnicze. Obecnie za pomocą takich terminali obsługiwane są płatności na kwotę około 4 milionów dolarów dziennie.

Niestety technologia ma słaby punkt, który pozwala wykorzystać ją do złodziejskiego procederu. Otóż czytnik Square przekazuje - za pomocą złącza słuchawkowego - informacje z zeskanowanej karty do smartfona lub tabletu, na którym zainstalowano odpowiednie oprogramowanie obsługujące transakcje finansowe.

Square terminal płatniczy dla smartfona


Pokaz, jak wykorzystać słabość Square, przeprowadzili Adam Laurie i Zac Franken z Aperture Labs na konferencji Black Hat, poświęconej sprawom bezpieczeństwa.
 

Adam Laurie i Zac Franken
 

Według nich urządzenie korzystające z technologii Square można wykorzystać do wykonywania płatności w pełni elektronicznych, bez konieczności fizycznego przesuwania karty przez czytnik, a nawet posiadania jej kopii. Jest to możliwe dzięki 100 liniom kodu, które pozwalają przekonwertować dane z paska magnetycznego, lub po prostu informacje o danej karcie, w sygnał dźwiękowy. Taki plik audio z sekwencją pisków przesłany poprzez złącze dźwiękowe zostanie zinterpretowany jak prawdziwa sekwencja danych z karty przesuniętej przez czytnik.
 

Square mini terminal płatniczy
 

To nie wszystko. Właściciel takiego miniaturowego terminala w smartfonie ma dostęp do wszystkich danych, które wprowadzane są do systemu po przesunięciu karty w czytniku. Dlaczego? Otóż nie są one w żaden sposób zabezpieczone, a sygnał audio zawierający dane o karcie można zdekodować do postaci czytelnej dla złodzieja. Tym samym taki smartfon czy tablet wraz ze Square staje się niezłym narzędziem do skimmingu (wykradania danych kart płatniczych). A płacący kartą nawet nie będzie zdawał sobie sprawy, że dane są wykradane.

Jak widać obecna wersja oprogramowania Square nie jest w stanie rozpoznać czy sygnał pochodzi z podłączonego czytnika kart, czy jest zwykłym plikiem dźwiękowym. Na reakcję producenta nie trzeba było długo czekać. Kolejne wersje czytnika i oprogramowania będą ulepszone, w tym wprowadzone zostanie szyfrowanie przesyłanego do smartfona strumienia danych. Zanim Square na dobre się rozpowszechni, powinien być już odporny na opisane powyżej działania.
 

Więcej o bezpieczeństwie w technologiach mobilnych:

Źródło: CNET

Komentarze

14
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Konto usunięte
    0
    Można uniknąć takiego ryzyka płacąc gotówką, a nie kartą.
    • avatar
      Konto usunięte
      0
      "Nóż może służyć do morderstwa. Pokaz, jak zabić człowieka nożem przeprowadzili Adam Laurie i Zac Franken. Na reakcję producentów noży nie trzeba było długo czekać. Kolejne noże będą ulepszone."

      To by było tyle ;)
      • avatar
        Konto usunięte
        0
        Jako wykształcony na fakultecie ekonomicznym i świadom tego jak działają nowoczesne urządzenia i oprogramowanie wszystkie aktywa służące przechowywaniu wartości trzymam w złocie a na koncie mam nie więcej niż 1000 euro z obawy na wszelkiej maści złodziei zarówno instytucjonalnych jak i pospolitych :)

        Amen