Wie sicher ist Square? Forscher finden eine Reihe von Löchern

QuadratMobiles Kreditkartenzahlungssystem Square hat rasant zugenommen. Das Baby von Jack Dorsey, Mitbegründer von Twitter, ist seit diesem Mai in Bewegung, da es bei TechCrunch Disrupt Verbesserungen für das Produkt angekündigt hat. Die Möglichkeit für Verbraucher, mobile Zahlungen zu tätigen, Square-akzeptierende Einzelhändler zu finden und digitale Belege zu erhalten, hat Square als tragfähige Point-of-Sale-Software verfestigt, die einen einflussreichen Beitrag zur Entwicklung des E-Commerce leisten könnte.

Verbraucher erleben im Online-Handel viele Veränderungen, darunter eine Reihe von Vorteilen: Gespeicherte Transaktionsdaten, Benutzerfreundlichkeit und ständige Erreichbarkeit sind nur einige der Upgrades. Aber keine Technologie kommt ohne Vorbehalte aus, und Square ist keine Ausnahme. Cnet berichtete, dass Forscher auf der dieswöchigen Black Hat-Sicherheitskonferenz angekündigt hatten, dass Square für den Zugriff auf gestohlene Kreditkartendaten verwendet werden kann.

Wie Diebe dies tun könnten, ist fast so beeindruckend, dass es schwer ist, sich darüber aufzuregen. Anstatt die betreffende Karte zu verwenden, könnte eine Person Magnetstreifendaten mit einem Mikrofon in eine Audiodatei konvertieren, diese dann nehmen und mit einem Stereokabel auf dem an ein Smartphone angeschlossenen Square-Gadget abspielen. Und da haben Sie es: Die Möglichkeit, ohne Karte einen Einkaufsbummel (nur digital) zu unternehmen.

Das ist nicht alles. Derzeit bietet Square keine Hardwareverschlüsselung oder -authentifizierung. Auf diese Weise kann das Gerät verwendet werden, um Karten nach Daten zu durchsuchen und Betrügern die Möglichkeit zu geben, Replikationen durchzuführen. „Der Dongle [das Square-Gerät] ist ein Skimmer. Es verwandelt jedes iPhone in einen Skimmer… jetzt benötigen Sie weniger technische Hardware und überhaupt keine technischen Fähigkeiten mehr “, sagte der Forscher Adam Laurie.

Der erstere der beiden Hacks erfordert etwas Technisches, aber der letztere klingt selbst für einige der elektronisch unfähigsten, um ihn zu nutzen. Das Überfliegen von Kartendaten ist hier das eigentliche Problem, da betrügerische Händler auf Square kaum oder gar keinen Erfolg haben, wenn sie ihren Sicherheitsstandards gegen diese Art von Aktivitäten standhalten. Aber warum die Hardware von Square unverschlüsselt bleibt, bleibt ein Rätsel und hinterlässt eine erhebliche Sicherheitslücke in seinem System.

Der Hauptkonkurrent Verifone wies Anfang dieses Jahres auf diese Besorgnis hin, die als Abstrichkampagne bezeichnet wurde. Unabhängig von den Absichten ist dies ein gültiger Punkt, insbesondere angesichts der zunehmenden Verwendung von Square. Laut Square sollen Geräte mit Verschlüsselungsfunktionen diesen Sommer veröffentlicht werden, aber wir warten alle noch.