Onderzoekers tonen misbruik van Square-betaalmethode aan

Onderzoekers op de Black Hat-beveiligingsconferentie in Las Vegas, hebben laten zien dat de mobiele betaalmethode Square niet veilig is. Square is een apparaatje dat je op de headsetaansluiting van een iPhone, iPad of Android-toestel prikt. Je kunt vervolgens creditcardbetalingen accepteren. Maar de onderzoekers menen dat het makkelijk is om met een hack ook gestolen creditcards te kunnen verwerken. Technische vaardigheden zijn er niet voor nodig en dure hardware evenmin. Bij Square worden de creditcardgegevens omgezet naar een audiobestand, dat vervolgens naar de creditcardmaatschappij wordt gestuurd. Die stuurt een bericht van autorisatie terug.

Adam Laurie en Zac Franken van Aperture Labs ontdekten dat afdoende encryptie ontbreekt. Daardoor kan het systeem worden gebruikt om creditcardinformatie te stelen, ook als je de creditcard zelf niet fysiek in handen hebt. Om het uitlezen van een kaart (oftewel het door de sleuf bewegen van de magnetische strip) te simuleren schreef Laurie een eenvoudig programmaatje van minder dan 100 regels code. Daarmee kunnen de gegevens van gestolen creditcards worden omgezet naar een audiobestand, dat kan worden afgespeeld.

Square denkt dan dat er een kaart door de sleuf is gehaald. Het onderzoekersduo zou gegevens van gestolen creditcards kunnen kopen en betalingen innen. Het enige wat je nodig hebt is een 10 dollar kostende stereokabel. De hack toont aan dat de Square-app geen onderscheid kan maken tussen het afspelen van een audiobestand en het swipen van een creditcard via de dongle. Om te demonstreren dat het echt werkt haalden Laurie en Franken geld van een VISA-giftcard. Ook toonden ze aan dat skimming met de Square-dongle mogelijk is. Binnenkort komt er een update van Square uit, waarin de kwetsbaarheid hopelijk is opgelost. Square is een project van Twitter-medeoprichter Jack Dorsey. De oplossing is onder andere verkrijgbaar in de Amerikaanse Apple Stores.