ЭКСПЕРТ ОПИСАЛ СПОСОБЫ КОМПРОМЕТАЦИИ МОБИЛЬНЫХ ПЛАТЕЖЕЙ

23

Мар

ЭКСПЕРТ ОПИСАЛ СПОСОБЫ КОМПРОМЕТАЦИИ МОБИЛЬНЫХ ПЛАТЕЖЕЙ

ЭКСПЕРТ ОПИСАЛ СПОСОБЫ КОМПРОМЕТАЦИИ МОБИЛЬНЫХ ПЛАТЕЖЕЙ

Исследователь описал ряд способов перехвата токенов при выполнении бесконтактных платежей.

Расплачиваться за покупки с помощью смартфона — откровенно опасно, предупреждает эксперт Фуданьского университета (Китай) Чже Чжоу. В рамках выступления на конференции Black Hat Asia в Сингапуре исследователь описал ряд способов перехвата токенов при выполнении бесконтактных платежей, пишет The Register.

Как пояснил Чже Чжоу, технологии мобильных платежей обладают двумя недостатками: токены не шифруются и не привязаны к одной транзакции, что позволяет использовать их повторно и/или перехватить. При совершении мобильного платежа смартфон генерирует одноразовый токен, который передается на PoS-терминал. После того, как платежный сервер проверит токен, больше он приниматься не будет. Задача заключается в том, чтобы не допустить передачу перехваченных токенов на PoS-терминал, а затем использовать его для транзакций на более крупную сумму. Подобный трюк можно провернуть с помощью смартфонов, способных эмулировать магнитные полосы карт. Это возможно благодаря использованию технологии MST (Magnetic Secure Transmission, или магнитная безопасная передача). По словам исследователя, радиус действия MST оценивается в несколько сантиметров, однако он выяснил, что готовые коммерческие устройства (о каких именно устройствах идет речь, не раскрывается) стоимостью всего $25 могут обнаружить волны на расстоянии двух метров, блокировать сигнал и собирать неиспользованные токены.

Подобным образом могут быть скомпрометированы и платежи по звуковым волнам. Такой формат платежей нередко используется в торговых автоматах, и записать код не составляет труда. Если для верификации токена автомат использует беспроводное соединение, блокировать сигнал можно с помощью глушилки. Таким образом атакующий получит валидный токен.

Третья атака предполагает использование смартфона, на котором установлено вредоносное ПО. Активировав камеру, злоумышленник может снять отражение используемого для оплаты QR-кода на защитном покрытии PoS-терминала и изменить его конфигурацию, сделав нечитабельным. При этом немодифицированный QR-код останется на смартфоне. Данная техника также может использоваться для создания вредоносных QR-кодов, позволяющих при совершении платежа со смартфона на смартфон, заразить устройство жертвы вредоносным ПО.

Magnetic Secure Transmission — технология, при помощи которой пользователь может бесконтактно оплачивать товары на стандартных терминалах, поддерживающих банковские карты с магнитной полосой.

Поделиться этим постом

похожие

посты