Η εταιρεία μελέτησε δέκα από τις πιο δημοφιλείς εφαρμογές κινητής πληρωμής, που κυμαίνονται από κινητές εφαρμογές πορτοφόλι (π.χ., η Apple Pay, το Google Wallet, η Samsung Pay) εμπόρους πληρωμής με ένα κλικ (π.χ., η Amazon, BestBuy, Target), και σε peer-to -peer εφαρμογές πληρωμής (π.χ., Venmo, Square Cash, SnapCash) καθώς και σε εφαρμογές που συνδέονται σε τραπεζικούς λογαριασμούς (π.χ., Dash, Uber, Lyft).
Σύμφωνα με την Bluebox, εντοπίστηκαν τρία μεγάλα ζητήματα. Το πρώτο σχετίζεται με τα κανάλια επικοινωνίας που δεν προστατεύονται σωστά και θα επέτρεπαν στους επιτιθέμενους να ανακατευθύνουν τις πληρωμές στην επιθυμητή θέση γι αυτούς.
Το δεύτερο ζήτημα έχει να κάνει με τον κώδικα τρίτων που περιλαμβάνεται σε αυτές τις εφαρμογές, ο οποίος αποτελεί σε γενικές γραμμές το 75% του κώδικα ενός app. Εάν ο κωδικός αυτός «απλά περιλαμβάνεται» σε εφαρμογές mobile payment χωρίς να περάσει από σωστούς ελέγχους ασφαλείας, διάφορα προβλήματα θα μπορούσαν εύκολα να παρουσιαστούν στο σύστημα πληρωμών.
Για να γίνουν τα πράγματα χειρότερα, στην περίπτωση που μια συσκευή είναι σε κίνδυνο, καμία από τις εφαρμογές που αναλύθηκαν από την ομάδα Bluebox δεν κρυπτογραφεί τα δεδομένα που αποθηκεύονται στο δίσκο. Αυτό σημαίνει ότι, όταν η συσκευή χακάρεται, όλες οι χρηματοοικονομικές πληροφορίες που είναι αποθηκευμένες μέσα σε αυτές τις εφαρμογές είναι έτοιμες για λήψη.
Η Bluebox λέει ότι όλες οι εφαρμογές που μελετήθηκαν ήταν εύκολα προσβάσιμες για τουλάχιστον μία από τις εξής τρεις επιθέσεις: επιθέσεις εκτέλεσης δυναμικού χρόνου, επιθέσεις παρακράτησης της κυκλοφορίας, καθώς και τις επιθέσεις από το χειρισμό του κώδικα της εφαρμογής.
Τα αποτελέσματα της μελέτης είναι ανησυχητικά, ιδιαίτερα αφού η Black Friday και η Cyber Monday είναι πολύ κοντά. Με πολλές εταιρείες όπως η Google, η Apple, η Samsung να πιέζουν για mobile payment εφαρμογές, οι κυβερνο-εγκληματίες θα ακολουθήσουν τα χρήματα και θα στρέψουν την προσοχή τους σε αυτά τα νέα συστήματα πληρωμών.
Πηγή: SecNews
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Το blog ΟΛΑ ΛΑΘΟΣ ουδεμία ευθύνη εκ του νόμου φέρει σχετικά σε άρθρα που αναδημοσιεύονται από διάφορα ιστολόγια. Δημοσιεύονται όλα για την δική σας ενημέρωση.