На конференции Black Hat в Лас-Вегасе специалисты из Aperture Labs показательно взломали мобильную платежную систему Square.

Во время посвященной проблемам противодействия компьютерной преступности конференции Black Hat, что проходит в Лас-Вегасе (США), Адам Лори и Зак Фрэнкен, представляющие занимающуюся ИТ-безопасностью компанию Aperture Labs, продемонстрировали несовершенство платежной системы Square.

Компания Square предлагает компактные считыватели для электронных карт и сопутствующее ПО. С их помощью владелец смартфона на платформе Android, а также iPhone, iPad или iPod touch может превратить свой аппарат в банкомат, который только что не выдает и не принимает наличные. ПО и считыватель — бесплатные; за операции, проведенные через Square, пользователь теряет 2,75% в виде комиссионных.

Идея Square — отличная, но реализация несколько подвела. Экс-хакер Лори обратил внимание на то, что считыватель для электронных карт вставляется в аудиоразъёмы смартфонов, из чего было заключено, что номера карт передаются в виде звуковых файлов. Специалисты написали программу, осуществляющую кодирование. На Black Hat они показали систему из ноутбука, на котором была установлена их программа, и "Айпада" с фирменным ПО Square. Для кражи денег с её помощью достаточно знать только номер карты; злоумышленник, переводящий "добытое" на свой счет, "платит" лишь 2,75% комиссии. Согласитесь, это гораздо веселее традиционной схемы, которая подразумевает отъём кредитной карты у владельца, приобретение по ней товаров и последующую их продажу бандеру (скупщику краденого).

Сообщается, что Square спешно интегрирует в свои считыватели шифрование данных.

История занимательна тем, что она иллюстрирует негативную сторону взаимосвязанности и открытости всего и вся в интернете: абсолютно неизвестная владельцу электронной карты фирма может поставить под угрозу его финансовую безопасность.