Шта год да радите, немојте дати ову програмабилну платну картицу свом конобару

Произвођачи интелигентне Фузе паметне картице кажу да је довољно снажан да буде ваш новчаник на једној картици, али довољно сигуран да се може користити на исти начин као и традиционалне платне картице - укључујући повјерење у послужитеље ресторана приликом плаћања рачуна. Али, испоставило се да погодност долази са великим уловом. Пукотина омогућава свакоме са чак и кратком физичком контролом картице да потајно сифонира све податке похрањене на уређају.

Представници Фузеа рекли су да су упознати са том рањивошћу и планирају да је исправљају у ажурирању заказаном за 19. април. Такође су се захвалили двојици истраживача који су, независно један од другог, открили рањивост и приватно је пријавили. До сада, међутим, званичници Фузеа још увек нису у потпуности обавестили кориснике о обиму ризика како би спречили да се приватни подаци који се чувају на картицама украду или манипулишу док се критични недостатак не поправи.

Неисправне претпоставке

Мике Риан, један од двојице истраживача, изјавио је да је креирао код напада који је представио Андроид апликацију која користи Блуетоотх везу за учитавање података о кредитним картицама на паметне картице. Док се званична Фузе апликација брине да спречи упаривање са картицама које су већ постављене са другим уређајем, Рианова скитница није имала таквих ограничења. То му је омогућило да преузме потпуну контролу над картицом, укључујући читање, промену или додавање бројева платних картица, датума истека и вредности провере картице.

Рајан је рекао да се чини да рањивост произилази из "надзора око претпоставки о томе ко би могао да комуницира са картицом". Претпостављало се да је "ако неко добије картицу, никада не би покушали да упаре картицу преко Блуетоотх-а и да преузму податке." Пријавио је рањивост овде прошле недеље. Видео о његовој експлоатацији је испод.

Оснивач сигурносне фирме ИЦЕ9 Цонсултинг, Риан је пронашао рањивост користећи рендгенски апарат и форензичке софтверске алате како би темељно преокренуо инжењер унутарњег рада Фузеа. Након анализирања процеса упаривања и начина на који је апликација комуницирала с картицом, брзо је открио да је могуће да било тко с физичком контролом прегледа или омета све тајне податке који су дизајнирани да сигурно похране.

Званичници Фузеа заслужују заслуге за поправљање грешке и постављање наменске адресе е-поште како би примили извештаје о безбедносној рањивости након што је Риан имао проблема да добије своје иницијалне поруке. Међутим, недостатак адекватног саветовања о безбедности показује да компанија још увек има више побољшања. Компанија треба да јасно стави до знања да, док се не инсталира ажурирање, корисници Фузе-а треба увек да држе строгу контролу над својим картицама и да их не предају конобарима као што је предложено на његовој веб страници.

Обећање Фузеа је привлачно: уређај величине једне платне картице који електронски чува податке за десетине других картица. Притиском на дугме, корисник може да изабере картицу која се наплаћује и да пређе картицу на продајном месту или да је преда трговцу. Фузе ће непримјетно промијенити податке приказане на магнетној траци.

Рањивост је подсетник да безбедност звука често ради у крижним сврхама са врстом погодности коју Фузе обећава. Сајт компаније посвећује велику количину простора карактеристикама које нуди и лакоћу њиховог коришћења, али нуди релативно мало простора за описивање његове безбедности.

Читаоци који размишљају о куповини програмабилних кредитних картица би требали снажно преиспитати. У најмању руку, они би требало да уложе време размишљајући о потенцијалним ризицима, посебно ако произвођач не може указати на независног ревизора сигурности који је тестирао производ.

Погледајте видео: 5 stvari koje nemojte raditi na pocetku veze (Децембар 2019).