Vi har alle brukt dem de siste årene. Mens vi betaler for lunsj på en liten restaurant, kjøper noe i en uavhengig drevet virksomhet eller betaler for en tjeneste, i stedet for å bli møtt med en standard kortleser for å sveipe kortet vårt, blir vi møtt med en kortleser som er koblet til en smarttelefon eller nettbrett som sveiper kortet vårt og ber oss om å signere for kjøpet på skjermen med enten en penn eller en finger.
Du blir sannsynligvis ikke så overrasket over å finne ut at mobile betalingssystemer ikke alltid er pålitelige.
Sonde for mobile betalingssystemer
Positive Technologies gjennomførte en ni måneders sonde ledet av Leigh-Anne Galloway og Tim Yunusov. De startet med å bare se på to kortlesere, men det vokste snart til en studie av syv kortlesere fra Square, SumUp, iZettle og PayPal. De undersøkte bruken av dem både i USA og Europa.
For å være klar, var ikke alle mobile betalingssystemer sårbare for et angrep, og alvorlighetsgraden av feilene som ble oppdaget varierte fra kortleser til kortleser.
De to forskerne rapporterte at de fant ut at etter å ha svevet et kort gjennom fem av leserne, var det mulig å få kunden til å bruke mer penger enn de forventet.
En selger eller et annet skadelig individ i nærheten kan avlytte Bluetooth-forbindelsen mellom kortleseren og mobilterminalen, og deretter endre dollarbeløpet slik at det betalte beløpet faktisk er høyere enn beløpet som ble vist.
Og på to av leserne fant forskerne at leseren kunne sendes kommandoer gjennom programvare for å endre det som ble vist på skjermen. Du kan be om en mindre sikker betalingsmåte, eller det kan til og med vise «betaling avvist» slik at kjøperen kjører kortet sitt en eller flere ganger, og legger til det endelige beløpet som er betalt.
Det var også to lesere, enheter bygget for Square og PayPal, som ble sett på som sårbare for å få endret koden slik at noen kunne komme inn i enhetens filsystem og fange opp konfidensielle data fra kredittkort før den ble kryptert.
Muligheten for svindel varierte mellom leverandørene, noe Galloway kalte opp til manglende modenhet i mobil betalingsteknologi. “Hvis et produkt koster mindre enn $ 100, vil det ikke ha noe nivå på [security] utvikling, ”sa hun og bemerket at noen leverandører bare bruker minimumskravene.
Square bruker imidlertid en mer moden teknologi. Den har brukt et bug bounty-program de siste fire årene som hjalp det med å utvikle et bedre system for bedrageribekjempelse. Den kan oppdage om en mobiltelefon den brukes sammen med er blitt kompromittert.
Fremtiden for mobile betalingssystemer
Alle feilene som er oppført her ble også rapportert til kortleserprodusentene og apputviklerne. De er i ferd med å lappe disse feilene, og noen har rapportert at de allerede har løst feilene.
Det er egentlig ikke bra nok. Dette er pengene vi snakker om. Disse enhetene har vært i spill i noen år nå, og de blir nå brukt mye. Likevel var de ikke sikre da de først ble tatt i bruk. Det er vanskelig å tro dem når de erkjenner at det var problemer, men de er nå løst.
Hvordan vil denne nyheten endre hvordan du samhandler med mobile betalingssystemer? Vil du unngå dem for enhver pris? Hvis du gjør deg klar til å betale for noe og innser at de har en kortleser, vil du snu deg og gå ut døren? Eller vil du fortsette å bruke dem, i håp om at feilene er løst? Gi oss beskjed om hvordan du planlegger å administrere bruken av mobile betalingssystemer i kommentarfeltet nedenfor.