Havebin

Iphone

研究者らがSquareリーダーがハッキングされる可能性があると主張、同社が反論(更新)c

Havebin
qlamk
0 Comments
研究者らがSquareリーダーがハッキングされる可能性があると主張、同社が反論(更新)c
研究者らがSquareリーダーがハッキングされる可能性があると主張、同社が反論(更新)c

更新: Square はこの件に関して次のような声明を出しており、同社の製品には特別なセキュリティ対策が施されており、記載されている問題は業界全体の問題であると述べています。

この記事は磁気ストライプ式クレジットカードに関する問題であり、Squareに関するものではありません。2015年において、カセットテープと本質的に同じ技術を用いたシステムが脆弱であることは、驚くべきことではありません。だからこそ、大手クレジットカード会社、金融機関、そして企業は、より安全で認証性の高い新しい決済技術を導入し始めているのです。Squareは、ICカードと非接触決済に対応した独自のカードリーダーで、その先駆者となっています。

市販のカードリーダーはどれも分解可能です。チップを粉砕し、損傷していないリーダーのシェルを使って再組み立てすることも可能です。Squareでは、損傷したリーダーにおける悪意のある行為を防ぐためのプロセスを導入しています。Square Registerソフトウェアには、暗号化されていないリーダーでスワイプされたカードを保護するためのセキュリティ対策が複数組み込まれています。暗号化されたリーダーが損傷した場合、Squareで使用できなくなります。

マザーボードの最新レポートによると、ボストン大学を卒業したばかりの学生3人が、人気急上昇中のSquare Readerを簡単にハッキングしたという。Square Readerをご存じない方のために説明すると、Square ReaderはiOSアクセサリで、小売業者が従来のPOS端末に費用をかけずにクレジットカードやデビットカードを簡単に利用できるようにしてくれる。しかし、ハッカーたちは今、小売業者が顧客のカード情報を盗む非常に簡単な方法を発見した。

報道によると、ボストン大学の研究者たちは、現行のSquareリーダーを物理的に改造し、10分以内にカードスキマーに改造する方法を発見したという。改造後もデバイスの外観は変わりなく、加盟店は問題なく使い続けることができる。デバイスを物理的に改造するとSquareアプリでは動作しなくなるものの、ハッカーは依然としてカード情報を保存・記録するためにデバイスを利用することができる。

Squareリーダーを改ざんしてクレジットカードスキマーに改造することに関しては、同社は問題ないと主張した。研究者が行ったように誰かがデバイスを壊せば、Squareアプリで動作しなくなるからだ。メレン氏によると、この対応は研究者にとって「非常に苛立たしい」ものだったという。というのも、研究者たちがSquareリーダーの改ざん方法を同社に報告した際、Squareはそれを却下したからだ。

実際、改ざんされたリーダーがSquareアプリで動作しなくなったとしても、顧客を騙すために利用されることは可能です。例えば、販売者はスワイプが成功したふりをして顧客を帰らせたり、失敗したふりをして予備のSquareリーダーで再度スワイプするよう顧客に依頼したりできる、とメレン氏はメールで説明しました。

研究者らが発見したもう一つの脆弱性は、カード名や情報をスマートフォンに直接記録できるという、同じ原理に基づくものです。研究者らはデータを記録するための専用アプリを作成したと述べていますが、公開するかどうかはまだ決定していません。昨年12月、ハッカーらは当時の最新世代モデルのSquare Readerを使って同様の詐欺を実行しましたが、このデバイスはすでに製造中止となっています。しかし、今回発見された脆弱性は現行世代のSquare Readerにも有効です。ただし、Square Readerはこれをセキュリティ上の脅威とは見なしていないと述べています。

「その信号を取得し、オンラインで無料で入手できるデコーダーを使用して変換すると、クレジットカード情報が得られます」とメレン氏はマザーボードに語った。

研究者らによると、「ソードフィッシュ」と名付けられたこのカスタムアプリは、基本的にそのプロセスを自動化し、記録された信号を取得して保存し、クレジットカード情報にデコードするという。

「セキュリティリスクとは考えていません」と、Squareの従業員はバグ報奨金サービスHackerOneに掲載されたバグレポートに記している。SquareはHackerOneを利用して、独立したセキュリティ研究者と交流し、報酬を得ている。「特に、保存されたスワイプを複数回処理することはできません」

さらに同社は、遅延や順序不同のスワイプを潜在的な不正の兆候として追跡していると主張しており、「そのため、こうしたスワイプがシステムに多すぎると、おそらく気付くでしょう」とスクエアの従業員は昨年12月にムーア氏に語った。

レポート全文はここからお読みいただけます。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like