На конференции Black Hat в Лас-Вегасе специалисты из Aperture Labs показательно взломали мобильную платёжную систему Square.
Во время посвященной проблемам противодействия компьютерной преступности конференции Black Hat, что проходит в Лас-Вегасе (США), Адам Лори и Зак Фрэнкен, представляющие занимающуюся ИТ-безопасностью компанию Aperture Labs, продемонстрировали несовершенство платёжной системы Square.
Компания Square предлагает компактные считыватели для электронных карт и сопутствующее ПО. С их помощью владелец смартфона на платформе Android, а также iPhone, iPad, или iPod touch может превратить свой аппарат в банкомат, который только что не выдаёт и не принимает наличные. ПО и считыватель — бесплатные; за операции, проведённые через Square, пользователь теряет 2,75% в виде комиссионных.
Идея Square — отличная, но реализация несколько подвела. Экс-хакер Лори обратил внимание на то, что считыватель для электронных карт вставляется в аудиоразъёмы смартфонов, из чего было заключено, что номера карт передаются в виде звуковых файлов. Специалисты написали программу, осуществляющую кодирование. На Black Hat они показали систему из ноутбука, на котором была установлена их программа, и «Айпада» с фирменным ПО Square. Для кражи денег с её помощью достаточно знать только номер карты; злоумышленник, переводящий «добытое» на свой счёт, «платит» лишь 2,75% комиссии. Согласитесь, это гораздо веселее традиционной схемы, которая подразумевает отъём кредитной карты у владельца, приобретение по ней товаров и последующую их продажу бандеру (скупщику краденого).
Сообщается, что Square спешно интегрирует в свои считыватели шифрование данных.
История занимательна тем, что она иллюстрирует негативную сторону взаимосвязанности и открытости всего и вся в Интернете: абсолютно неизвестная владельцу электронной карты фирма может поставить под угрозу его финансовую безопасность.
- Стоимость медиауслуг (открыть PDF) -
.jpg)