Betalen via Square met gestolen creditcardgegevens is mogelijk

Door: Wouter Hoeffnagel | 05 augustus 2011 20:08

Apple

Onderzoekers hebben een fout ontdekt die misbruik van de betaalmethode Square mogelijk maakt. Twee onderzoekers hebben een softwareprogramma gepresenteerd waarmee geld kan worden afgeschreven van gestolen creditcardgegevens.

Adam Laurie en Zac Franken van Aperture Labs hebben een softwareprogramma geschreven waarmee gestolen creditcardgegevens kunnen worden omgezet in audio. Door deze audio af te spelen via een audiokabel kunnen betalingen met een creditcard worden gemaakt, zonder dat je de creditcard door het apparaat hoeft te halen.

Square is een klein apparaatje dat je kunt aansluiten op de koptelefooningang van een iPhone en maakt betalingen met een creditcard mogelijk. Door het systeem kunnen met name kleine bedrijven de iPhone inzetten als betaalmiddel waarmee klanten producten ter plekke kunnen afrekenen.

Adam Laurie en Zac Franken hebben echter ontdekt dat Square onvoldoende beveiligd is en op eenvoudige wijze voor andere doeleinde kan worden gebruikt. De twee onderzoekers hebben de fout op de Black Hat-beveiligingsconferentie gepresenteerd. De kwetsbaarheid maakt het erg eenvoudig om geld af te schrijven van gestolen creditcardgegevens.

De fout is mogelijk doordat Square audiobestanden maakt van creditcards die door het apparaat worden gehaald. Dit audiobestand wordt naar de bijbehorende creditcardmaatschappij gestuurd, waarna de creditmaatschappij de gegevens controleert.

De beveiliging van dit systeem blijkt echter niet in rode aangezien het mogelijk is nagemaakte audiobestanden door te sturen naar creditcardmaatschappijen. Square ontvangt vervolgens een bevestiging van de creditcardmaatschappij, waarna de transactie rond is.

Bron: CNET