Ein Hack verwandelt sich den quadratische Kartenleser in ein Skimmer
Der Square-Leser hat dazu beigetragen, die Einstiegsschwelle für viele kleine Einzelhändler Karte Zahlungen übernehmen gerne zu senken. Nun zeigt aber neue Forschungsergebnisse, dass es möglich ist, einer der Leser in einem Schaumlöffel zu verwandeln.
Sicherheits-Forscher haben entdeckt, dass es möglich ist, deaktivieren Sie die Verschlüsselungssysteme auf dem Gerät, Kreditkarten-Daten zu sammeln. "Während ein gültiger Sale bösartige Kaufmann oder dritten mehrere zusätzliche verschlüsselte klaut einer Kreditkarte aufnehmen können", erklären die Forscher. "Zur Verfügung gestellt, die Daten aus zusätzlichen klaut nicht an des Platzes Server gesendet sie dann spielen können diese Aufnahmen zurück in Platz registrieren app zu einem viel späteren Zeitpunkt, auch nicht in Ordnung, um zu initiieren und betrügerische Transaktionen zu einem späteren Zeitpunkt abschließen."
Update: Alexandrea Mellen, einer der Forscher, kam darauf hin, dass die Forschung tatsächlich zwei getrennte Angriffe beschreibt in Berührung. Sie erklärt:
1. wir können eine Kreditkarte Skimmer einen neuen Platz Leser verwandeln, in weniger als 10 Minuten - und es wird noch physisch sehen genauso aus wie ein Quadrat-Leser. Der Angriff ermöglicht bösartige Händlern zu sammeln und anschließend Benutzer Kreditkarten-Informationen zu verkaufen. Dieser Angriff speichert keine Seitenhiebe, sondern speichert die Opfer Kreditkarten-Informationen.
2. Wir haben eine Methode identifiziert, wo für jeden einzigartigen Schlag der Kreditkarte des Kunden Kaufmann in der Lage ist, eine neue Transaktion zu einem späteren Zeitpunkt, noch lange, nachdem der Kunde verlassen hat und unbeknownst zu ihm oder ihr zu führen. Platz hat die Informationen benötigt, um vollständig zu verhindern, dass solche Angriffe wie sie versucht sind, aber aufgrund der Komplexität hat sich entschieden, um nicht zu tun. Dieser Angriff speichert Seitenhiebe für die spätere Verwendung.
Update 8/4 14:10: Kommentar vom Platz:
Diese Geschichte handelt von Themen mit Magnetstreifen Kreditkarten, nicht quadratisch. Im Jahr 2015 sollte es uns nicht überraschen, dass ein System mit im Wesentlichen die gleiche Technologie als Kassetten betroffen ist. Deshalb großen Kreditkartenunternehmen, Kreditgebern und Unternehmen nun neue, sichere, authentifizierte Zahlungstechnologien umarmt werden. Quadrat hilft, die Art und Weise mit unserer eigenen Kartenleser für Chipkarten und kontaktlose Zahlungen führen.
Jedem Kartenleser auf dem Markt kann dekonstruiert werden. Der Chip könnte zerkleinert und dann mithilfe der unbeschädigten Schale des Lesers wieder zusammengesetzt. Am Platz haben wir Prozesse um bösartiges Verhalten auf beschädigte Leser zu verhindern. Unser Platz registrieren Software enthält eine Reihe von Sicherheitsvorkehrungen, die Karten zu schützen, die auf unverschlüsselte Leser geklaut werden. Wenn unsere verschlüsselte Leser beschädigt sind, funktionieren sie nicht mit Quadrat.
Vielleicht ist der beste Rat, immer darauf achten, die Art der app, die für die Durchführung der Transaktion verwendet wird, wenn du kannst. Wenn die offizielle app verwendet wird, sind Sie fast sicher im klaren; Wenn die app sieht aus wie ein Stück von Drittanbieter-Software, sollte nicht Ihre Karte übergeben werden.
Korrektur: Eine frühere Version von diesem Beitrag vorgeschlagen, dass die beiden Anschläge von Alexandrea Mellen beschrieben einem einzigen Angriff. Sie sind in der Tat zwei unabhängige Angriffe.
[HackerOne über Motherboard über Engadget]
Bild von AP