События

Эксперт описал способы компрометации мобильных платежей

Расплачиваться за покупки с помощью смартфона - откровенно опасно, предупреждает эксперт Фуданьского университета (Китай) Чже Чжоу. В рамках выступления на конференции Black Hat Asia в Сингапуре исследователь описал ряд способов перехвата токенов при выполнении бесконтактных платежей, пишет The Register.

Как пояснил Чже Чжоу, технологии мобильных платежей обладают двумя недостатками: токены не шифруются и не привязаны к одной транзакции, что позволяет использовать их повторно и/или перехватить. При совершении мобильного платежа смартфон генерирует одноразовый токен, который передается на PoS-терминал. После того, как платежный сервер проверит токен, больше он приниматься не будет. Задача заключается в том, чтобы не допустить передачу перехваченных токенов на PoS-терминал, а затем использовать его для транзакций на более крупную сумму. Подобный трюк можно провернуть с помощью смартфонов, способных эмулировать магнитные полосы карт. Это возможно благодаря использованию технологии MST (Magnetic Secure Transmission, или магнитная безопасная передача). По словам исследователя, радиус действия MST оценивается в несколько сантиметров, однако он выяснил, что готовые коммерческие устройства (о каких именно устройствах идет речь, не раскрывается) стоимостью всего $25 могут обнаружить волны на расстоянии двух метров, блокировать сигнал и собирать неиспользованные токены.

Подобным образом могут быть скомпрометированы и платежи по звуковым волнам. Такой формат платежей нередко используется в торговых автоматах, и записать код не составляет труда. Если для верификации токена автомат использует беспроводное соединение, блокировать сигнал можно с помощью глушилки. Таким образом атакующий получит валидный токен.

Третья атака предполагает использование смартфона, на котором установлено вредоносное ПО. Активировав камеру, злоумышленник может снять отражение используемого для оплаты QR-кода на защитном покрытии PoS-терминала и изменить его конфигурацию, сделав нечитабельным. При этом немодифицированный QR-код останется на смартфоне. Данная техника также может использоваться для создания вредоносных QR-кодов, позволяющих при совершении платежа со смартфона на смартфон, заразить устройство жертвы вредоносным ПО.

Magnetic Secure Transmission - технология, при помощи которой пользователь может бесконтактно оплачивать товары на стандартных терминалах, поддерживающих банковские карты с магнитной полосой.

Источник

Автор: Сергей Куприянов
23.03.2018 (19:09)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2020

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.