자칭 해커 두 명이 Black Hat 청중에게 Square 모바일 결제 리더를 신용 카드 스키머로 전환하는 방법을 보여주었습니다.
두 명의 미국인 자칭 해커가 최신 모델인 Square 모바일 결제 리더기를 범죄 도구로 바꾸는 방법을 보여주었습니다. Black Hat 컴퓨터 보안 컨퍼런스 라스베가스에서.
추천
- iPhone 15 Pro 리뷰: 눈부실 준비를 하세요
- 생성 AI는 ChatGPT가 할 수 있는 것보다 훨씬 뛰어납니다. 기술이 어떻게 발전하는지에 대한 모든 것을 알아보세요
- 구글 픽셀 8과 Google Pixel 8 Pro: 귀하에게 적합한 제품은 무엇인가요?
- iPhone 15를 위한 최고의 USB-C 케이블: 전문가가 추천하는 것
독립적인 보안 연구원 Alexandrea Mellen과 John Moore는 목요일에 회의에 참석하여 다음과 같이 말했습니다. Square 소프트웨어 또는 신용 카드를 읽기 위해 오디오 잭에 연결하는 동글을 대상으로 하는 해킹 시연 자기 스트립.
Mellen은 "우리는 Square Reader를 10분 만에 신용 카드 스키머로 전환했습니다."라고 말했습니다.
"평신도라면 누구나 할 수 있다."
그녀는 드라이버, 전선, 납땜 인두 등의 간단한 도구를 사용하여 하드웨어 해킹을 수행할 수 있으며 대부분의 경우 Square가 모바일 결제 사용자에게 제공하는 리더기를 조심스럽게 열어보는 데 소요된 시간 애플리케이션.
판독기 내부에는 암호화 칩을 우회하기 위해 두 지점 사이에 와이어가 납땜되어 있습니다.
그 후 Mellen에 따르면 긁힌 신용 카드에서 스크램블되지 않은 정보가 수집되어 본질적으로 도난당하여 암시장에 판매되거나 다른 방식으로 남용될 수 있습니다.
소프트웨어 측면에서 Moore는 다음을 허용하는 "재생 공격"을 가능하게 하는 모바일 애플리케이션에 대한 세부 정보를 제공했습니다. 판매자는 합법적인 구매가 완료된 후 몇 주 또는 몇 달 안에 가짜 거래에 대해 고객에게 요금을 청구합니다.
최근 보스턴 대학을 졸업하고 구글에 입사한 무어는 "신용카드 명세서를 주의 깊게 살펴보지 않으면 눈치채지 못할 수도 있기 때문에 이것이 문제가 된다고 생각한다"고 말했다.
Moore는 최근 Boston University를 졸업한 Mellen과 함께 Square Reader를 목표로 삼았다고 말했습니다. 트위터 공동 창업자인 잭 도시(Jack Dorsey)가 이끄는 그는 실제 금융에 스마트폰을 사용하는 급성장 추세의 선두주자입니다. 업무.
Moore는 "Square는 규모와 버그 현상금 프로그램을 고려할 때 쉬운 목표가 아닙니다."라고 말했습니다.
무어는 “스퀘어에서 발견한 취약점이 다른 모바일 POS 서비스 제공업체에도 쉽게 적용될 수 있다고 의심한다”고 말했다.
Moore에 따르면 새로운 하드웨어와 소프트웨어는 경쟁이 치열한 모바일 결제 시장에 빠르게 도입되고 있으며 플러그인을 작고 저렴하게 유지해야 한다는 압박을 받고 있습니다.
모바일 결제 소프트웨어는 다양한 휴대폰과 호환되어야 하는데, 휴대폰은 구매 이외의 다양한 용도로 사용되기 때문에 보안이 쉽지 않습니다.
무어는 요인들의 조합을 "재난의 비결"이라고 불렀습니다. 해커들은 샌프란시스코에 본사를 둔 Square에 조사 결과를 제공했지만 수정 계획이 있는지 확신하지 못했다고 말했습니다.
무어는 스퀘어가 "재생" 해킹으로 인해 생성될 수 있는 종류의 가짜 거래를 감시하고 있다고 말했다고 말했습니다.
무어는 "그들은 몇 주 전에 신용카드를 긁은 흔적이 있다는 정보를 갖고 있다"고 말했다.
AFP에 보낸 성명에서 Square는 과거 카세트 테이프 시대로 거슬러 올라가는 기술인 자기 스트립에 데이터를 저장하는 데 계속 의존하는 신용 카드에 결함이 있다고 지적했습니다.
Square 대변인은 “카세트 테이프와 본질적으로 동일한 기술을 사용하는 시스템이 취약하다는 사실은 놀라운 일이 아닙니다.”라고 말했습니다.
"이것이 바로 주요 신용 카드 회사, 대출 기관 및 기업이 이제 새롭고 더욱 안전하며 인증된 결제 기술을 채택하고 있는 이유입니다."
이러한 기술에는 계산대에서 센서에 무선으로 데이터를 전송하는 칩이 내장된 카드가 포함됩니다.
AR + VR
- Meta의 Quest 3 VR 헤드셋을 사용해 보았는데 혼합 현실 경험이 다음 단계였습니다.
- 이 새로운 AR 스마트글래스는 오디오와 ChatGPT에 큰 기대를 걸고 199달러부터 시작합니다.
- 이 초소형 VR 헤드셋을 사용하면 아주 적은 비용으로 Vision Pro를 맛볼 수 있습니다.
- Apple Vision Pro를 사용해 보았는데 예상했던 것보다 훨씬 앞서 있습니다.
- 게임, 업무 및 그 이상을 위한 최고의 VR 헤드셋
Square는 시중의 모든 신용 카드 리더기가 변조될 수 있지만 회사는 암호화되지 않은 리더기에 긁힌 카드를 보호하기 위해 예방 조치를 취하고 있다고 주장했습니다.
Square는 "우리는 손상된 판독기에 대한 악의적인 행동을 방지하기 위한 프로세스를 갖추고 있습니다."라고 말했습니다.
"암호화된 리더가 손상되면 Square에서 작동하지 않습니다."
스퀘어가 최근 발표한 와의 협력 페이 적용, iPhone 제조업체의 NFC 기반 비접촉 결제 시스템으로 소비자는 Square NFC 리더기에서 Apple Pay를 통해 결제할 수 있습니다.
호주에서는 EMV가 출시된 지 1년이 다가오고 있습니다. Europay, MasterCard, Visa 칩 기술 -- 호주의 모든 카드 결제 단말기에서 의무화되었습니다. 올해 4월을 기준으로 Visa는 호주 내에서 100,000개 이상의 비접촉식 단말기가 배포되었으며 매달 7,500만 건 이상의 비접촉식 거래가 이루어진 것으로 추정했습니다. 또한 호주에서는 모든 대면 결제의 60%가 비접촉식으로 이루어진 것으로 알려졌습니다.
호주 은행 Westpac은 모바일을 통한 비접촉식 결제가 2019년 말까지 AU$30억 미만에 이를 것으로 예측했습니다. 올해에는 NFC 기술이 통합된 장치가 시장에서 더욱 두각을 나타낼 것이라고 회사는 밝혔습니다. 시장.
삼성전자와 마스터카드도 손을 잡았다. 삼성페이 유럽 진출, 지난주에 발표된 유럽 출시에 협력하고 있습니다.
Black Hat에서도 선보였습니다. 체크포인트 모바일 보안 연구팀 LG, Samsung, HTC 및 ZTE를 포함한 주요 제조업체가 만든 장치에 영향을 미치는 Android의 취약점을 보고했습니다.
공격 - 세례명 세리피 게이트 -- Android 기기를 완전히 제어할 수 있다고 주장됩니다. 보안 허점은 모바일 원격 지원 도구(mRST) 앱의 보안 인증서를 사용하여 특권적인 액세스 권한을 얻는 방식으로 작동합니다. 이러한 원격 지원 애플리케이션은 사전 설치되어 있는 경우가 많으며 Android 기기에 대한 루트 수준 액세스 권한을 갖습니다.
Check Point는 장치가 손상되었음을 인지한 후에는 할 수 있는 일이 많지 않다고 말했습니다.
“취약한 앱을 완전히 철회할 수 없기 때문에 문제는 더욱 심화됩니다. 수정된 버전이 출시된 후에도 공격자는 이전 버전을 사용하여 기기를 제어할 수 있습니다."
IT 보안 회사인 Cognosec은 다음의 취약점을 강조했습니다. IoT 표준, 징비(ZingBee) 블랙햇에서. Cognosec은 중간자 공격 및 장치 하이재킹을 위해 장치를 열어 두는 결함을 발견했습니다.
Cognosec은 ZigBee 네트워크를 손상시키고 허브에 연결된 모든 IoT 장치를 장악할 수 있다는 사실을 발견했습니다.
AAP와 함께.