Έκθεση βρίσκει κραυγαλέα κενά ασφαλείας σε εφαρμογές για mobile payment
Τα περισσότερα από τα κορυφαία σύγχρονα mobile payment συστήματα δεν προστατεύονται αρκετά ώστε να χειριστούν το ποσό της προσπάθειας ελέγχου που οι εγκληματίες είναι συνήθως πρόθυμοι να βάλουν σε συστήματα πληρωμών, όπως δείχνει μια πρόσφατη έκθεση της Bluebox.
Η εταιρεία μελέτησε δέκα από τις πιο δημοφιλείς εφαρμογές κινητής πληρωμής, που κυμαίνονται από κινητές εφαρμογές πορτοφόλι (π.χ., η Apple Pay, το Google Wallet, η Samsung Pay) εμπόρους πληρωμής με ένα κλικ (π.χ., η Amazon, BestBuy, Target), και σε peer-to -peer εφαρμογές πληρωμής (π.χ., Venmo, Square Cash, SnapCash) καθώς και σε εφαρμογές που συνδέονται σε τραπεζικούς λογαριασμούς (π.χ., Dash, Uber, Lyft).
Σύμφωνα με την Bluebox, εντοπίστηκαν τρία μεγάλα ζητήματα. Το πρώτο σχετίζεται με τα κανάλια επικοινωνίας που δεν προστατεύονται σωστά και θα επέτρεπαν στους επιτιθέμενους να ανακατευθύνουν τις πληρωμές στην επιθυμητή θέση γι αυτούς.
Το δεύτερο ζήτημα έχει να κάνει με τον κώδικα τρίτων που περιλαμβάνεται σε αυτές τις εφαρμογές, ο οποίος αποτελεί σε γενικές γραμμές το 75% του κώδικα ενός app. Εάν ο κωδικός αυτός “απλά περιλαμβάνεται” σε εφαρμογές mobile payment χωρίς να περάσει από σωστούς ελέγχους ασφαλείας, διάφορα προβλήματα θα μπορούσαν εύκολα να παρουσιαστούν στο σύστημα πληρωμών.
Τα mobile payment app δεν είναι έτοιμα για primetime
Για να γίνουν τα πράγματα χειρότερα, στην περίπτωση που μια συσκευή είναι σε κίνδυνο, καμία από τις εφαρμογές που αναλύθηκαν από την ομάδα Bluebox δεν κρυπτογραφεί τα δεδομένα που αποθηκεύονται στο δίσκο. Αυτό σημαίνει ότι, όταν η συσκευή χακάρεται, όλες οι χρηματοοικονομικές πληροφορίες που είναι αποθηκευμένες μέσα σε αυτές τις εφαρμογές είναι έτοιμες για λήψη.
Η Bluebox λέει ότι όλες οι εφαρμογές που μελετήθηκαν ήταν εύκολα προσβάσιμες για τουλάχιστον μία από τις εξής τρεις επιθέσεις: επιθέσεις εκτέλεσης δυναμικού χρόνου, επιθέσεις παρακράτησης της κυκλοφορίας, καθώς και τις επιθέσεις από το χειρισμό του κώδικα της εφαρμογής.
Τα αποτελέσματα της μελέτης είναι ανησυχητικά, ιδιαίτερα αφού η Black Friday και η Cyber Monday είναι πολύ κοντά. Με πολλές εταιρείες όπως η Google, η Apple, η Samsung να πιέζουν για mobile payment εφαρμογές, οι κυβερνο-εγκληματίες θα ακολουθήσουν τα χρήματα και θα στρέψουν την προσοχή τους σε αυτά τα νέα συστήματα πληρωμών.
