Búsqueda en CódigoTecno
Hackean Square para mostrar el peligro de los pagos móviles
Los móviles inteligentes y las tabletas electrónicas se están convirtiendo, poco a poco, en medios de pagos muy prácticos y sencillos de utilizar. Gracias a la web y al desarrollo de apps cada vez son más los servicios que permiten abonar por productos o servicios desde un simple gadget de bolsillo.
Una de las herramientas de pago más populares es Square. Se trata de un servicio que funciona en iOS y Android, y consiste en una aplicación que funciona junto a un pequeño accesorio que se conecta a los teléfonos para leer tarjetas de crédito. Hasta el momento esta utilidad no había mostrado inconvenientes, pero en la conferencia Black Hat un grupo de investigadores demostró que este método puede hackearse fácilmente.
“Con poco hardware y conocimientos básicos cualquiera puede aprovechar las falencias de Square para utilizar datos robados de tarjetas de crédito”, explicaron Adam Laurie y Zac Franken. Los especialistas mostraron dos métodos que permiten engañar al popular medio de pago móvil para que acepte información sin necesidad de contar con una tarjeta de crédito física.
A través de un software especial los desarrolladores transformaron la información de sus tarjetas de crédito en tonos de audio, y los enviaron a la aplicación mediante un cable conectado a la entrada de los auriculares. En cuestión de segundos la app de Square reconoció los datos, lo que implica que cualquier persona que robe una tarjeta de crédito puede usarla sin problemas.
Esto quiere decir, además, que la aplicación oficial no es capaz de reconocer cuándo un usuario está pasando su tarjeta debajo del mini-lector oficial y cuándo se está falsificando el proceso. Pero esto no es todo, ya que Laure y Franken también demostraron que pudieron robar datos que ingresaban a la aplicación porque no estaban encriptados.
Después de ver la presentación de los especialistas en la conferencia de seguridad Black Hat, los voceros de Square anunciaron que pronto mejorarán su servicio para tapar las brechas de seguridad explotadas.