imagazin arrow2-left arrow2-right arrow2-top arrow-up arrow-down arrow-left arrow-right cart close dossiers education fb instagram menu notification oander rss rss-footer search service shuffle speech-bubble star store stores tests twitter youtube

A jövő megérkezett!

Az Apple bemutatta az iPhone X-et

Ez a cikk több mint egy éve nem frissült. Kérjük, vedd figyelembe, hogy ennek tükrében a tartalom mára már idejétmúlt lehet.

Biztonsági rés a legújabb generációs Square Readerben


A tudás hatalom. Ezt pedig azok a Bostoni Egyetemre járó hallgatók is tudják, akiknek sikerült úgy módosítaniuk egy Square Readert, hogy képesek legyenek vele ellopni mások bankkártyaadatait. A hibát a terméket gyártó cég nem ismerte el, ezért a hallgatók valószínűleg közzéteszik a módosítás pontos menetét és az általuk fejlesztett alkalmazást is.

A Square Reader egy iOS-es eszközökhöz kapható kiegészítő, amely segítségével az eladók képesek a bankkártyát bárhol lehúzni, ezáltal egyszerűsítve a fizetést. Az alkalmazás pedig nagyon sokrétű, hiszen a raktárkészlet mellett, kezeli a tényleges kasszát, de csatlakoztathatunk nyugta nyomtatót vagy akár vonalkódolvasót is hozzá. A Square Reader csak ezzel az alkalmazással működik – legalábbis a terméket gyártó cég szerint.

kep

A hallgatóknak kevesebb mint 10 perc alatt sikerült módosítania a kártyaolvasót. A folyamat végére ráadásul a módosított kártyaolvasót nem is lehet megkülönböztetni az eredetitől. Az egyetlen „kudarc”, hogy a kiegészítő így már nem működik a hivatalos Square appal. Egy másik alkalmazásba viszont képes adatokat szolgáltatni, ami eltárolja a bankkártyaadatokat egy szerveren. Ezeknek az adatoknak a segítségével, később „el lehet hitetni” a rendszerrel, hogy megint lehúzták a kártyát, és így akármennyi tranzakciót le lehet bonyolítani.

Nem gondoljuk, hogy ez a hiba biztonsági kockázatot jelentene. A rendszerünkben minden tranzakció rögzítésre kerül, és gyanús tevékenységet észlelve könnyedén ellenőrizni tudjuk a pénzmozgást.

A cég tehát lezárta azzal a kérdést, hogy ez nem számít tényleges hibának. Így viszont a biztonsági rések felfedezéséért és jelentéséért járó összeget sem kapta meg a kísérletező kedvű társaság. Ezért tökéletesre fejlesztették a bankkártyaadatokat fogadó alkalmazásukat, csak azért, hogy később feltöltsék azt az internetre. Sőt, a szerkezet megbütyköléséhez is készítenek részletes leírást. Ha pedig tényleg így tesznek végül, akkor az egyértelműen megszaporítaná az efféle lopásokat.

TSQ_140_PostImage04-1434131699293

Képzeljük csak el a szituációt. Egy gyanútlan vásárló bemegy az üzletbe, kinéz magának egy terméket. Vásárol valamit, és odamegy fizetni az egyik eladóhoz. Az eladó először a hamis programban húzza le a kártyát, ami az adatok eltárolása után egy hamis hibaüzenetet mutat, hogy a tranzakció nem sikerült. Ilyenkor még nem történt pénzlevonás, tehát egy nem módosított Square Readerrel is lehúzza a kártyát és megtörténik a tényleges tranzakció. A vásárlónak ilyenkor még semmi sem gyanús. Hetekkel később, mikor már elfeledkezett a vásárlásról, az eladó egy másik Square felhasználóval belép a módosított alkalmazásba, és szimulálja a bankkártya lehúzását, akár többször egymás után. Így az eladó annyit lop el a kártya, a kártyatulajdonosa vagy bármilyen biztonsági kód nélkül, amennyit a kártyalimit még enged.

Magyarországon ilyentől nem kell tartani, hiszen a szolgáltatás nem kezel kártyás fizetést itthon, ezért a boltok sem használják a Square megoldását.

Forrás: HackerONE 

iPhone 7 / 7 Plus Akció
Apple Inc. (AAPL)

Ezt már olvastad?

A Sirinek ez is az egyik baja, hogy mindenki a célközönség. Valószínűleg hatékonyabb lenne, ha először jól működő modulokat hoznának létre egy-egy funkcióra szabva.

Miért nem ismeri anyanyelvünket az Apple virtuális asszisztense? ... - Klikk ide!