Sikkerhedsbehandlingen af NFC Betalinger
Ideen om at betale for noget uden at bruge dit PIN-nummer er ikke noget nyt længere. På trods heraf udsætter konceptet dig for lige så mange sårbarheder (hvis ikke mere) end det gjorde før.
Tidligere har jeg skrevet om Android Pays PIN-mindre mobilbetalingssystem og de negative konsekvenser folk kan lide ved at erstatte deres PIN-numre med biometrisk godkendelse. Nu er der enheder som NFC betalingsringe, der yderligere forværre de tidligere sårbarhedsproblemer med andre lignende løsninger. Det viser sig, at der er et par ting, du bør vide, før du hopper ind i den vellykkede båndvogn, som kontaktfri betalinger giver.
Folk kan lytte til transaktioner
Aflytning på radiosignaler er langt en af de ældste praksis i moderne historie. Vi har gjort det siden den første verdenskrig og har påberåbt det tungt anden gang. Enheder kan være blevet mere avancerede, men teknikken er stadig relativt uberørt. Du laver en lytteapparat, der stemmer ind i den samme radiofrekvens, som to andre parter bruger og lytter ind på dem.
Hackere og forskere har været opmærksomme på NFC aflytning siden mindst 2013, da nogle mennesker lavede en indkøbskurv, der nemt kunne glide ind og "lytte" til transaktioner, der foretages ved kontaktfri betaling. For at forhindre et sådant fænomen, skal læsere kryptere deres forbindelser fra ende til ende. Alligevel eksisterer muligheden for aflytning stadig. For forbrugerne at være pålideligt sikker, er det bedre at undgå at bruge NFC i overfyldte steder.
Dataene kan ugyldiges
Dette særlige problem irriterer forhandlere lige så meget som kunder. En hacker kan placere en enhed i nærheden af læseren, der ødelægger dataene, der går ind i læseren, hvilket gør det umuligt at foretage et køb på den pågældende tæller. Hackere kan have et incitament til at gøre dette i forbindelse med aflytning for at sikre, at kunden ikke tømmer deres balance, før de har mulighed for at bruge den.
Løsningen på dette problem er det samme her som det er til aflytning. Forhandlere bør bruge sikre kanaler til transmission og modtagelse af data på deres NFC-læsere. Selvom dette angreb ikke udgør en særlig trussel mod enten forhandleren eller kunden (bare en masse frustration), er det værd at gentage, at det kan være særligt farligt for kunden, når hackere vælger at kombinere dette med aflytning.
"Man i midten" angreb
Beskrevet mere detaljeret herover er en mand i midten (MiM) angrebet en sofistikeret form for aflytning, hvor hackeren vil aflytte samtalen mellem NFC-enheden og læseren, der behandler betalingen og sender falske oplysninger til begge. På denne måde kan hackere invalidere data (sende læseren oplysninger om affald som beskrevet ovenfor) og modtage NFC-betalingen selv baseret på, hvad NFC-enheden forsøgte at sende til læseren.
På grund af deres sofistikering er sådanne angreb meget sjældne, men de sårbarheder, der for øjeblikket er til stede i NFC-transaktioner, skaber et incitament for hackere til at begynde at investere mere tid i at lave værktøjer, der udfører disse angreb. For at gøre sagen værre kan hackere aktivt høre på forbindelsen, før krypteringen "håndtryk" er færdig, hvilket gør kryptering ret ubrugeligt på dette tidspunkt. Men en ting detailhandlere kunne gøre, er at have en aktiv passiv kommunikationsform, hvor NFC-enheden blot sender over sine data, og læseren behandler blot oplysningerne og sender tilbage købsbekræftelse.
Undersøg aldrig pickpocketers
Selvfølgelig, når du ikke er skåret ud for klogt hacking dig ind i betalingsportaler, er din bedste mulighed at simpelthen få fat i, hvad folk bruger til at betale for ting i disse dage. Et kort er lidt sværere at stjæle, da du normalt skal stjæle hele tegnebogen, der sidder inde i lommen det meste af tiden (nogle mennesker bruger deres indvendige frakke lomme til deres tegnebøger, hvilket gør dette mere udfordrende).
Men telefoner holdes ofte uden for lommer og går tabt. Selvom de er i lomme, vil de fleste ikke behandle deres telefoner med den samme omhu som de gør deres tegnebøger. NFC betalingsringe tager dette lidt længere, da det er endnu nemmere at tabe ringe. Stjælle dem er kun et spørgsmål om at finde et passende øjeblik, når nogen tager af deres ringe for at vaske deres hænder.
Mit forslag til folk, der bruger telefoner, er at sørge for, at de har en eller anden måde at låse enheden fjernt, hvis den går tabt. Bortset fra det, bør du undgå NFC-betalinger helt, hvis det er meget vigtigt for dig at minimere chancerne for at dine penge bliver stjålet på nogen af de ubehagelige måder, jeg har beskrevet ovenfor.
Bruger du NFC-betalinger? Hvordan beskytter du din økonomi? Fortæl os i en kommentar!