Мы все использовали их в последние несколько лет. Платя за обед в небольшом ресторане, покупая что-то в независимом бизнесе или оплачивая услугу, вместо стандартного устройства считывания карт мы встречаем устройство считывания карт, подключенное к смартфон или планшет, который берет нашу карту и просит нас расписаться в покупке на экране стилусом или пальцем.
Вероятно, вы не будете так удивлены, узнав, что мобильные платежные системы не всегда заслуживают доверия.
Исследование мобильных платежных систем
Positive Technologies провела девятимесячное расследование под руководством Ли-Энн Гэллоуэй и Тима Юнусова. Они начали с изучения двух картридеров, но вскоре переросли в исследование семи картридеров от Square, SumUp, iZettle и PayPal. Они изучили их использование в США и Европе.
Для ясности: не каждая система мобильных платежей была уязвима для атак, и серьезность обнаруженных недостатков варьировалась от устройства чтения карт к устройству чтения карт.
Два исследователя сообщили, что обнаружили, что, проведя картой через пять считывателей, можно было заставить покупателя потратить больше денег, чем он ожидал.
Продавец или другой гнусный человек, находящийся поблизости, может подслушать соединение Bluetooth между устройством считывания карт и его мобильным терминалом, а затем изменить сумму в долларах, чтобы уплаченная сумма на самом деле была выше, чем указанная сумма.
На двух считывателях исследователи обнаружили, что считывателю через программное обеспечение можно отправлять команды для изменения того, что отображается на экране. Можно запросить менее безопасный способ оплаты или даже отобразить «платеж отклонен», чтобы покупатель использовал свою карту один или несколько раз, увеличивая окончательную уплаченную сумму.
Было также два считывателя, устройства, созданные для Square и PayPal, которые были сочтены уязвимыми из-за изменения кода, позволяющего кому-либо проникнуть в файловую систему устройства и перехватить конфиденциальные данные с кредитных карт до того, как они будут зашифрованы.
Возможность мошенничества у разных поставщиков была разной, и Гэллоуэй объяснил это недостаточной зрелостью технологий мобильных платежей. «Если продукт стоит менее 100 долларов, он не будет иметь определенного уровня разработки [безопасности]», — сказала она, отметив, что некоторые поставщики используют только минимальные требования.
Однако Square использует более зрелую технологию. В течение последних четырех лет она использовала программу вознаграждения за обнаружение ошибок, которая помогла ей разработать более совершенную систему борьбы с мошенничеством. Он может определить, был ли взломан мобильный телефон, с которым он используется.
Будущее мобильных платежных систем
Обо всех перечисленных здесь ошибках также было сообщено производителям устройств для чтения карт и разработчикам приложений. Они находятся в процессе исправления этих ошибок, и некоторые сообщили, что уже исправили их.
Однако этого недостаточно. Мы говорим о наших деньгах. Эти устройства используются уже несколько лет и сейчас широко используются. Однако они не были безопасными, когда их впервые начали использовать. Им трудно поверить, когда они признают, что были проблемы, но теперь они устранены.
Как эта новость изменит ваше взаимодействие с мобильными платежными системами? Будете ли вы избегать их любой ценой? Если вы соберетесь заплатить за что-то и поймете, что у них есть устройство для считывания карт, вы повернетесь и выйдете за дверь? Или вы продолжите их использовать, надеясь, что ошибки исправлены? Сообщите нам, как вы планируете управлять использованием мобильных платежных систем, в разделе комментариев ниже.