image

Betalen met mobieltje zo lek als een mandje

vrijdag 30 mei 2008, 12:34 door Redactie, 0 reacties

Betalen met de mobiele telefoon zou "the next big thing" moeten worden, maar onderzoekers hebben aangetoond dat de veiligheid ernstig tekortschiet omdat aanbieders en fabrikanten zo snel mogelijk de markt op willen. Tijdens de EUSecWest Conferentie demonstreerde Collin Mulliner van de Trifinite Group allerlei mogelijkheden om mobiele betalers op te lichten, deels veroorzaakt door het gebruik van de beruchte MiFare Classic RFID-chip. De chip, die eerder al in de OV-chipkaart werd gekraakt, is aanwezig in alle Near Field Communication (NFC) diensten. De voornaamste reden dat de veiligheid is achtergesteld komt door de obsessie van de fabrikanten om de markt te betreden. Hierdoor worden de apparaten met allerlei eenvoudig te misbruiken lekken geleverd, die weer kunnen leiden tot phishing, malware, DoS en andere aanvallen.

Mobiel betalen werkt eenvoudig. Je haalt de telefoon langs een bepaalde "tag" en het bedrag wordt afgeschreven. De communicatie verloopt via RFID en is niet versleuteld. Verder blijkt dat ook de tags die als betaalpunt fungeren, te manipuleren of door een kwaadaardig exemplaar te vervangen zijn. De meeste aanvallen die Mulliner liet zien zijn gebaseerd op social engineering, maar worden ondersteund door de technische problemen die zich voordoen. Het gaat dan om bugs in de systemen en applicaties, maar ook de betaaltags en achterliggende infrastructuur. "Ze zijn voornamelijk ontworpen om de service provider te beschermen, niet de gebruiker," zo merkt hij op. Hij maakte zelfs een proof-of-concept worm die zich via betaaltags weet te verspreiden.

De onderzoeker nam contact op met Nokia om een aantal van de problemen te bespreken. De telecomgigant zou zeer snel hebben gereageerd, aldus Mulliner. Toch waarschuwt hij mobiele betalers om voorzichtig te zijn en elke keer de content van de tag te controleren. De tools die de onderzoeker gebruikte zijn ook te downloaden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.