Seberapa amankah Square? Peneliti menemukan sejumlah lubang

kotakSistem pembayaran kartu kredit seluler Square telah meningkat pesat. Bayi pendiri Twitter, Jack Dorsey, telah berpindah sejak Mei ini, sejak mengumumkan peningkatan untuk produk di TechCrunch Disrupt. Kemampuan konsumen untuk melakukan pembayaran seluler, menemukan pengecer yang menerima Square, dan menerima tanda terima digital memperkuat Square sebagai perangkat lunak tempat penjualan yang layak yang dapat menjadi bagian yang berpengaruh dalam evolusi e-commerce.

Konsumen mengalami banyak perubahan dalam hal ritel online, termasuk sejumlah manfaat: Data transaksi yang disimpan, kemudahan penggunaan, dan aksesibilitas yang konstan hanya dengan beberapa peningkatan. Tetapi tidak ada teknologi yang hadir tanpa peringatannya, dan Square tidak terkecuali. Cnet melaporkan bahwa pada konferensi keamanan Black Hat minggu ini, para peneliti mengumumkan Square dapat digunakan untuk mengakses data kartu kredit curian.

Bagaimana pencuri bisa melakukan ini sangat mengesankan sehingga sulit untuk marah karenanya. Alih-alih menggunakan kartu sebenarnya yang dimaksud, seseorang dapat mengubah data strip magnetik menjadi file audio menggunakan mikrofon, kemudian mengambilnya dan menggunakan kabel stereo, mereka dapat memutarnya ke gadget Square yang terpasang ke smartphone. Dan begitulah: Kemampuan untuk berbelanja (hanya dalam bentuk digital) tanpa kartu.

Bukan itu saja. Saat ini, Square tidak menampilkan enkripsi atau otentikasi perangkat keras. Ini memungkinkan perangkat digunakan untuk membaca sepintas kartu untuk data dan kemudian memberi scammer kemampuan untuk membuat replikasi. “Dongle [perangkat Square] adalah skimmer. Itu mengubah iPhone apa pun menjadi skimmer ... sekarang Anda membutuhkan lebih sedikit perangkat keras teknis untuk melakukannya dan tidak ada keterampilan teknis sama sekali, ”kata peneliti Adam Laurie.

Yang pertama dari dua peretasan membutuhkan sesuatu dari pemikiran teknis, tetapi yang terakhir terdengar mudah bahkan untuk beberapa yang paling tidak kompeten secara elektronik untuk digunakan. Data kartu skimming adalah perhatian utama di sini, karena pedagang penipu di Square tidak banyak berhasil dalam mempertahankan standar keamanannya terhadap jenis aktivitas ini. Tetapi mengapa perangkat keras Square tetap tidak terenkripsi tetap menjadi misteri, dan meninggalkan lubang keamanan yang signifikan dalam sistemnya.

Pesaing utama Verifone menunjukkan kekhawatiran ini awal tahun ini, yang diberi label kampanye kotor. Terlepas dari niatnya, ini adalah poin yang valid, terutama mengingat penggunaan Square yang terus berkembang. Square mengatakan perangkat dengan kemampuan enkripsi akan dirilis musim panas ini, tetapi kita semua masih menunggu.