Физическая модификация устройства позволила отключить шифрование, предназначенное для защиты хранящихся на карте личных данных.
Как сообщают исследователи безопасности из Бостонского университета, США, им удалось превратить считыватель банковских карт Square Reader, набирающий популярность среди розничных торговцев, в портативное скимминговое устройство.
Аппаратный модуль, используемый вместе со смартфоном, представляет собой доступную и куда менее громоздкую альтернативу PoS-терминала. Однако простота реализации влечет за собой дополнительные риски безопасности, которые выражаются в том, что для успешного взлома прошивки достаточно базовых знаний в программировании, а также «отвертки, суперклея и 10 минут времени».
Трое авторов исследования отмечают, что одна только физическая модификация Square Reader позволяет отключить шифрование, предназначенное для защиты хранящихся на карте личных данных, которые передаются на смартфон в процессе оплаты. При этом внешне скомпрометированный считыватель ничем не отличается от оригинального и потенциальная жертва не сможет заподозрить неладное.
Более того, по словам экспертов, для злоумышленников не составит труда разработать неофициальное приложение для модифицированного Square Reader, которое будет полностью повторять детали легитимной программы. Подробности своей работы исследователи намерены раскрыть в рамках
Как сообщают исследователи безопасности из Бостонского университета, США, им удалось превратить считыватель банковских карт Square Reader, набирающий популярность среди розничных торговцев, в портативное скимминговое устройство.
Аппаратный модуль, используемый вместе со смартфоном, представляет собой доступную и куда менее громоздкую альтернативу PoS-терминала. Однако простота реализации влечет за собой дополнительные риски безопасности, которые выражаются в том, что для успешного взлома прошивки достаточно базовых знаний в программировании, а также «отвертки, суперклея и 10 минут времени».
Трое авторов исследования отмечают, что одна только физическая модификация Square Reader позволяет отключить шифрование, предназначенное для защиты хранящихся на карте личных данных, которые передаются на смартфон в процессе оплаты. При этом внешне скомпрометированный считыватель ничем не отличается от оригинального и потенциальная жертва не сможет заподозрить неладное.
Более того, по словам экспертов, для злоумышленников не составит труда разработать неофициальное приложение для модифицированного Square Reader, которое будет полностью повторять детали легитимной программы. Подробности своей работы исследователи намерены раскрыть в рамках
Для просмотра ссылки необходимо нажать
Вход или Регистрация
на предстоящей конференции Black Hat.