Mobiele betaaldiensten als PayPal en Square blijken erg kwetsbaar voor hackers

Abonneer je gratis op Techzine!

Mobiele betaaldiensten als PayPal en Square winnen aan populariteit. Maar ze zijn kwetsbaar. Onderzoekers hebben tijdens de Black Hat hackersconferentie in Las Vegas grote kwetsbaarheden blootgelegd in mobiele point-of-sale (mPOS) apparaten van onder meer iZettle, Square, SumUp en PayPal.

Dat meldt de site ZDNet vandaag op basis van een presentatie van veiligheidsexperts van Positive Technologies tijdens de conferentie. De kwetsbaarheden maken het mogelijk voor verkopers om de bankrekening van klanten leeg te roven als ze dat zouden willen en voor hackers om gegevens over de creditcard van gebruikers buit te maken.

Gegevens buitmaken

Onderzoekers Leigh-Anne Galloway en Tim Yunusov stellen dat de kwetsbaarheid ervoor kan zorgen dat het bedrag dat van de rekening afgeschreven wordt hoger is dan wat daadwerkelijk betaald moet worden. Tegelijk kunnen hackers de klanten ertoe dwingen andere betaalmethodes te gebruiken, bijvoorbeeld de magneetstrip, waarmee data makkelijker buitgemaakt kan worden dan via de NFC-chip.

Dat is mogelijk door een aantal kwetsbaarheden in de PoS-softwarte, die veel van de mobiele kaartlezers draaiende houdt. Die maken betaaldiensten voor kleinere en middelgrote bedrijven een stuk betaalbaarder. Maar dat heeft dus een keerzijde, namelijk extra kwetsbaarheid in de endpoint-beveiliging. Kwaadwillenden kunnen verschillende aanvallen uitvoeren, onder meer Man-in-The-Middle-aanvallen en ze kunnen indien ze willen code via Bluetooth en apps overzetten naar de apparaten.

Slordige beveiliging

De aanvallen zijn mogelijk door de manier waarop de mPOS-apparaten werken. Ze communiceren via Bluetooth met mobiele apps, die vervolgens data naar de betaalservers sturen. Door die data te onderscheppen, is het mogelijk om bepaalde waardes te manipuleren en toegang te krijgen tot het transactieverkeer.

Een belangrijke stap die volgens Positive Technologies genomen moet worden, is het invoeren van extra controlemechanismen voor verkopers. Momenteel kan zo’n beetje iedereen een mPOS-apparaat huren of kopen. Daar zou verandering in moeten komen. Tegelijk moeten providers ervoor zorgen dat de veiligheid altijd op orde is, door daar aan het begin van de ontwikkeling van de systemen al nadruk op te leggen.

Positive Tchnologies werkt samen met de aanbieders om de kwetsbaarheden op te lossen.