Расплачиваться за покупки с помощью смартфона - откровенно опасно, предупреждает эксперт Фуданьского университета (Китай) Чже Чжоу. В рамках выступления на конференции Black Hat Asia в Сингапуре исследователь описал ряд способов перехвата токенов при выполнении бесконтактных платежей, пишет The Register.
Как пояснил Чже Чжоу, технологии мобильных платежей обладают двумя недостатками: токены не шифруются и не привязаны к одной транзакции, что позволяет использовать их повторно и/или перехватить. При совершении мобильного платежа смартфон генерирует одноразовый токен, который передается на PoS-терминал. После того, как платежный сервер проверит токен, больше он приниматься не будет. Задача заключается в том, чтобы не допустить передачу перехваченных токенов на PoS-терминал, а затем использовать его для транзакций на более крупную сумму. Подобный трюк можно провернуть с помощью смартфонов, способных эмулировать магнитные полосы карт. Это возможно благодаря использованию технологии MST (Magnetic Secure Transmission, или магнитная безопасная передача). По словам исследователя, радиус действия MST оценивается в несколько сантиметров, однако он выяснил, что готовые коммерческие устройства (о каких именно устройствах идет речь, не раскрывается) стоимостью всего $25 могут обнаружить волны на расстоянии двух метров, блокировать сигнал и собирать неиспользованные токены.
Подобным образом могут быть скомпрометированы и платежи по звуковым волнам. Такой формат платежей нередко используется в торговых автоматах, и записать код не составляет труда. Если для верификации токена автомат использует беспроводное соединение, блокировать сигнал можно с помощью глушилки. Таким образом атакующий получит валидный токен.
Третья атака предполагает использование смартфона, на котором установлено вредоносное ПО. Активировав камеру, злоумышленник может снять отражение используемого для оплаты QR-кода на защитном покрытии PoS-терминала и изменить его конфигурацию, сделав нечитабельным. При этом немодифицированный QR-код останется на смартфоне. Данная техника также может использоваться для создания вредоносных QR-кодов, позволяющих при совершении платежа со смартфона на смартфон, заразить устройство жертвы вредоносным ПО.
Magnetic Secure Transmission - технология, при помощи которой пользователь может бесконтактно оплачивать товары на стандартных терминалах, поддерживающих банковские карты с магнитной полосой.