26.11.2018 | 09:12

irq

Zapłacisz kartą na cudzym smartfonie? Analiza terminali na telefonie

Pod względem technicznym smartfon spełnia wszystkie wymagania, by móc realizować funkcjonalność terminala płatniczego (mPOS – Mobile Point-of-Sale). Posiada wszystkie niezbędne interfejsy komunikacyjne, wystarczy użyć specjalnej aplikacji.

Trzeba jednak pamiętać, że nowe rozwiązania wymagają tzw. „wygrzania technologii”, czyli zweryfikowania wszystkich potencjalnych problemów i zagrożeń, jakie ze sobą niosą. Krótki czas „od pomysłu do realizacji” może skutkować ujawnianiem nowych podatności czy błędów implementacji.

Stosując bezpośrednio smartfon jako terminal, nie mamy pewności, czy PIN nie zostanie zapamiętany w urządzeniu w trakcie przetwarzania bądź też przechwycony przez inną aplikację. Między innymi z tego powodu pilotażowe rozwiązania terminali mobilnych realizowały transakcje o niskich kwotach bez konieczności potwierdzania PIN-em (realizacja była zbliżona do dobrze znanych płatności zbliżeniowych). Jednak uzyskanie pełnej funkcjonalności terminala i płatność dowolnej wysokości kwoty wymagają wprowadzania numeru PIN. Technicznie nie ma żadnego problemu, by wprowadzać numer PIN bezpośrednio na smartfonie, ale pojawiają się wątpliwości dotyczące bezpieczeństwa takiego rozwiązania. Projektanci terminalów POS przez wiele lat dopasowali funkcje oraz zabezpieczenia do wysokich wymagań rynku (standard bezpieczeństwa dla płatności kartowych – PCI  DSS). Standard ten ma na celu ochronę danych klientów i ujednolicenie minimalnych wymagań bezpieczeństwa (infrastruktura sieciowa, urządzenia oraz procedury) dla wszystkich podmiotów biorących udział w obsłudze płatności kartą. To właśnie te doświadczenia i wyznaczniki stały się podstawą wymagań implementacji terminali w smartfonach.

Pomysły są dobre, jednak smartfony są bardzo uniwersalnymi urządzeniami, a to powoduje, że niosą bardzo wiele zagrożeń i nie jest łatwo zapewnić ich wysoki poziom bezpieczeństwa. Stosunkowo łatwo jest o infekcję urządzenia typowym malware’em. Równie łatwo można zainstalować aplikację, która na pozór jest niegroźna, jednak ma zbyt wysokie uprawnienia i może śledzić działania użytkowników lub przechwytywać wrażliwe informacje. Bankomaty lub terminale płatnicze są zweryfikowane i certyfikowane, by dawać pewność poufności całej transakcji, a w szczególności chronić proces czytania karty i wprowadzania numeru PIN. Z punktu widzenia standardu PCI DSS stosowanie samego smartfonu jest dopuszczalne – mamy do czynienia z urządzeniem kategorii Software-Based PIN Entry. Jednak nadal istnieje kilka czynników, które mogą podważać bezpieczeństwo tego procesu, w związku z czym poszukiwano rozwiązania umożliwiającego wypełnienie stawianych wysokich wymagań.

źródło: https://sumup.pl

Obecne rozwiązania mPOS składają się z dwóch elementów: jednym z nich jest oczywiście sam smartfon, drugim – specjalny moduł zawierający czytnik kart oraz klawiaturę do wprowadzania numeru PIN (COTS zawierający Secure Card Reader PIN). Smartfon natomiast realizuje logikę biznesową płatności oraz komunikację z operatorem usługi. Rozwiązania takie uzyskały zgodność ze standardem PCI DSS.

Bezpieczeństwo terminali mPOS skupia się na pięciu podstawowych wymaganiach:

  1. Izolacja numeru PIN od innych danych konta.
  2. Zapewnienie bezpieczeństwa oprogramowania i integralności aplikacji na urządzeniu do wprowadzania kodu PIN (COTS – Commercial  Off-The-Shelf).
  3. Aktywne monitorowanie usługi w celu złagodzenia potencjalnych zagrożeń dla środowiska płatniczego w telefonie lub tablecie.
  4. Użycie bezpiecznego czytnika kart (SCRP – Secure Card Reader PIN) do szyfrowania i utrzymywania poufności danych.
  5. Ograniczenie transakcji do kart z chipem EMV oraz kart bezstykowych.

Przy poprawnej implementacji powyższych zasad można uznać, że mamy do czynienia z rozwiązaniem równie bezpiecznym jak tradycyjny terminal POS, łatwiejszym do powszechnego stosowania, a mającym znacznie większe możliwości rozwoju.

źródło: https://www.cebih.org

Tak jak w przypadku większości rozwiązań, również tutaj bezpieczeństwo zależy w dużej mierze od użytkownika. Zaleca się zachowanie ostrożności i stosowanie możliwych mechanizmów zabezpieczających. Jednymi z najważniejszych zasad obowiązujących w użytkowaniu smartfonów do dokonywania operacji finansowych są higiena komputerowa oraz separacja (zastosowań). Wbrew temu, co w swoich materiałach reklamowych sugerują producenci tych rozwiązań, aplikacja terminala płatniczego nie powinna być zainstalowana i używana na urządzeniu, które jest wykorzystywane w codziennym życiu i pracy jego właściciela. Taki smartfon powinien być traktowany jako token sprzętowy – mieć tylko to jedno zastosowanie (tylko i wyłącznie do funkcji terminala POS). Dodatkowo lepiej jest użyć nowego (nikomu nieznanego) numeru telefonu do połączeń do sieci. Bezpieczniej jest również korzystać z urządzenia opartego na systemie operacyjnym, który jest mniej narażony na infekcje (tu przewagę ma iOS).

Trzy zasady bezpieczeństwa użytkowania smartfonu w połączeniu z aplikacjami finansowymi:

  1. Aktualne oprogramowanie antywirusowe.
  2. Bezpieczne szyfrowane połączenie VPN.
  3. Nieużywanie smartfonu z innymi aplikacjami (zasada separacji ról jako separacja zastosowań).

Podobne zasady warto stosować w sytuacji, gdy używa się smartfonu do potwierdzania przelewów bankowych: osobne urządzenie traktowane jako token tylko do przelewów, bez dodatkowych aplikacji, z odrębnym numerem telefonu, najlepiej jakiś iPhone. Oczywiście nie jest to łatwe do zrobienia dla użytkowników indywidualnych, jednak w przypadku większych organizacji koszt jest akceptowalny. W ten sposób mityguje się ryzyka oszustw i nadużyć przy wykonywaniu przelewów, wykorzystywanych w znanych obecnie wektorach ataku.

Producenci urządzeń mobilnych bardzo dynamicznie reagują na potrzeby rynku i można się spodziewać, że kolejne modele urządzeń będą zawierały rozwiązania, które sprawią, iż będzie można bezpiecznie stosować je w operacjach finansowych. Dołączenie biometrycznych metod identyfikacji do procesu autoryzacji, jak również potwierdzania transakcji w systemach bankowych podniesie bezpieczeństwo oraz ujednolici kanały dostępowe do usług, ale przede wszystkim ułatwi korzystanie z nowoczesnych technologii w bankowości.

Technologicznie jesteśmy już gotowi do takich rozwiązań, jednak najtrudniej jest przełamać obawy użytkowników odnośnie bezpieczeństwa. Strach zbliżenia karty kredytowej do cudzego smartfonu z jednoczesnym podaniem PIN-u jest zrozumiały, jednakże gdyby taką operację użytkownik wykonywał na własnym telefonie, a dodatkowo potwierdzał transakcje odciskiem palca, to wydaje się, że przełamanie bariery psychologicznej i zaufanie takiej technologii byłyby łatwiejsze.

Powrót

Komentarze

  • 2018.11.26 12:16 Obserwator

    „Bankomaty lub terminale płatnicze są zweryfikowane i certyfikowane, by dawać pewność poufności całej transakcji, a w szczególności chronić proces czytania karty i wprowadzania numeru PIN.”

    Dzięki za informację.

    Właśnie się dowiedziałem,ze jeszcze do niedawna działające bankomaty pracujące pod kontrolą certyfikowanego i dedykowanego systemu Windows XP, który komunikował się z bankiem superbezpiecznym protokołem szyfrującym SSL3 z pancernym szyfrowaniem typu DES, 3DES lub RC4. xD

    Obecnie XP już teoretycznie nie ma, ale jak często bankomaty i terminale POS aktualizują swoje oprogramowanie?
    Co ile dni wgrywają poprawki bezpieczeństwa do swoich systemów.
    Pytam, bo np w bibliotece Openssl są wykrywane średnio 3 krytyczne podatności w ciągu roku.

    Także ciekaw jestem,jak by wypadły te wszystkie „certyfikowane systemy” w starciu z regularnie aktualizowanym Androidem lub
    IOS’em.

    Banki jakoś zrozumiały ten problem, dlatego odchodzą od autoryzacji SMS na rzecz aplikacji bankowych.
    O bezpieczeństwie samych apek bankowych to chyba na Z3S też pisaliście,i to nie raz. xD

    Pozdro

    Odpowiedz
  • 2018.11.26 12:20 Michał Głuchowski

    Słabo. Wiem, że temat SPoC, popularnie zwanego SoftPOSem jest nośny, ale artykuł prezentuje dosyć spore niezrozumienie tematu.
    COTS to najprościej tłumacząc zwykłe urządzenie konsumenckie, jak każdy smartfon. 'PIN Entry na COTS’ oraz 'Contactless na COTS’ to dwie rozbieżne koncepcje i na dzisiaj niedopuszczalne w jednym urządzeniu.
    Czytając natknąłem się na sporo fragmentów wywołujących zgrzyt zębów:
    1. Już pierwsze zdanie jest nieprawdziwe – pod względem technicznym smartfon nie posiada niezbędnych sprzętowych elementów – ani czytnika stykowego, ani magnetycznego, ani sprzętowych zabezpieczeń antitamper. Nie jest badany też pod kątem kształtu pola elektromagnetycznego (te, które mają certyfikaty EMV L1 występują jako urzadzenia emulujące kartę, nie ekceptacyjne).
    2. Trzeci akapit – standard dla urządzeń to nie PCI DSS a PCI PTS POI. Wystarczy przeczytać PCI DSS (a ten zna całkiem sporo osób), żeby stwierdzić, że nie ma tam takich wymagań.
    3. Piąty akapit ma chyba opisywać SPoC zdefiniowany przez PCI Council i złożony z COTS i SCRP (warto dodać – na dzień dzisiejszy nie istnieje ani jeden SCRP). Mają to być dwa fizycznie niezależne urządzenia o różnych funkcjach (więc COTS nie może zawierać SCRP – wtedy podpadałby zwyczajnie po PCI PTS). Zamiast tego opisuje standardowy mPOS (podlegający pod PCI PTS) z dołączonym smartfonem, jakie są w ofertach wielu firm, ale logiki aplikacyjnej na smartfonie nie ma, bo byłoby to przetwarzanie danych wrażliwych i raczej jest wyłącznie forwardowanie komunikacji z szyfrowaniem P2P.
    4. Odnośnie tego, że bezpieczniej na iOS – iOS nie umożliwia uruchamiania innego niż ich kod w SecureEnclave, nie wspiera zewnętrznych SecureElement’ów i nie udostępnia czytnika zbliżeniowego aplikacjom.
    5. Te porady na końcu, jak z ostrzegamy.online

    Odpowiedz
    • 2018.11.26 14:20 NoWayToPay

      Ad 3
      Datecs się chwali, że dwa miesiące temu jako pierwsi dostali (SCRP).

      Ale co do SPoC-ów, rzeczywiście, „Results: 0”.

      Odpowiedz
      • 2018.11.26 20:05 Michał Głuchowski

        True. Ciekawe jest, jak dostarczny jest PIN do tych urządzeń, bo w Security Policy nie widać opisanego pod to żadnego klucza (a nietrudno można dostarczyć podobnie do offline encrypted PINu, tylko trzeba do tego osobne CA i indywidualne klucze urzadzeń).
        Ingenico chyba miało jakiś czas temu notkę prasową, że pilotują SPoC gdzieś, ale takie piloty nie muszą się przeradzać w certyfikowane rozwiązania.

        Odpowiedz
  • 2018.11.26 12:30 wk

    Ciekawy artykuł z szerokim spojrzeniem na problem.

    Dygresja do pobocznego tematu: jako osobne urządzenie do potwierdzania przelewów (odbierania sms kodów) może służyć tradycyjny telefon komórkowy (bez funkcji smart)- jest tańszy od iphone, a co najmniej równie bezpieczny.

    Odpowiedz
    • 2018.11.26 16:20 xD

      „tradycyjny telefon komórkowy (bez funkcji smart)- jest tańszy od iphone, a co najmniej równie bezpieczny”
      telefon którego wszystkie połączenia gsm lecą plaintextem jest równie bezpieczny co nowoczesny komputer wymuszający szyfrowanie ssl, sandboxing aplikacji i pozwalający na skonfigurowanie vpna…
      takim jak ty to się łatwiej żyje

      Odpowiedz
    • 2018.11.26 19:34 Michal

      Nie jest. Polska jest jednym z niewielu miejsc na świecie, gdzie uzyskanie czyjejś karty SIM nie jest trywialne.
      W USA podałem numer telefonu (z głowy), pokazałem strzęp konwersacji z T-Mobile na Twitterze i dostałem „duplikat” karty do ręki. ID nikt nie sprawdził. Kolejka była, a za mną ludzie którzy może kupią nową umowę ze smartfonem (prowizja) a nie jakiś palant który zgubił kartę.
      Co kilka dni się słyszy o tym, że ktoś zadzwonił do operatora, podał kilka łatwych do znalezienia informacji i operator przepiał numer na posiadaną przez atakującego kartę.
      I pozamiatane.
      SMSy jako second factor muszą odejść.

      Odpowiedz
      • 2018.11.26 22:47 wk

        Z tym, że smsy jako second factor muszą odejść zgadzam się w 100%, i nigdy na nie nie przeszedłem; dopłacam co rok opłatę za token sprzętowy typu challenge-response.
        Najpopularniejszy atak – przepinanie karty sim na duplikat dotyczy wszelkich telefonów – nie zgadzam się więc z tym, że jeśli użytkownik prywatny lub mikrofirma ma już te nieszczęsne smskody i użyje w funkcji ich odbiornika „nieużywanego do innych celów tradycyjnego telefonu na osobnej karcie sim”, to jest o wiele bardziej narażony niż jeśli w tej samej funkcji użyje „nieużywanego do innych celów iphone” (a taki przykład był w artykule i do niego się odnoszę).
        Osobne urządzenie do osobnej roli jest dużym zmniejszeniem ryzyka w przypadku płatności. Nie byłoby dobrze, gdyby czytelnicy z3s zrozumieli z artykułu, że nie mają tej możliwości tylko dlatego, że nie stać ich na iphone ;)

        Odpowiedz
        • 2018.11.27 00:20 Michal

          Fatalny wybór. Podpisujesz sam nie wiesz jaką transakcję.
          Tokeny sprzętowe powinny wylądować w tym samym koszu w którym leżą SMSy.

          Odpowiedz
          • 2018.11.27 21:13 wk

            Tokenem challenge-response wiesz jaką transakcję podpisujesz.

  • 2018.11.26 12:39 NoWayToPay

    Auć, boli. Już z pierwszym zdaniem trudno się zgodzić, a dalej…

    Tak na szybko (i niekoniecznie chronologicznie):

    1. PCI PED ? („Pod względem technicznym smartfon spełnia wszystkie wymagania”).
    2. „There Goes Your PIN” ? Jak można o tym nie wspomnieć ???
    3. PCI SPoC to rok 2018, prawdę mówiąc nadal jest to pieśń przyszłości. Pierwsze certyfikacje SCRP to chyba wrzesień (?).
    4. Magstripe i mPOS – ależ proszę bardzo, od tego przecież mPOSy zaczynały (Square…) i przez lata był to obowiązujący model, do tego wciąż jest wspierany. Wypadałoby wyjaśnić, że to jest zabronione jedynie przy SPoC.
    5. mPOS to nie tylko rozwiązanie typu „czytnik + smartfon”.
    6. Ilustracje – SumUp Air i Datecs Bluepad 50. To są mPOSy sprzed SPoC’a. To są właśnie te „obecne rozwiązania”. Ale zaraz pod SumUpem przechodzimy płynnie do SPoC i sekcja od „Bezpieczeństwo terminali mPOS skupia się na pięciu podstawowych wymaganiach” mówi już o systemie z PIN on Glass. Może to być mylące.
    7. „Jednak uzyskanie pełnej funkcjonalności terminala i płatność dowolnej wysokości kwoty wymagają wprowadzania numeru PIN.”
    Consumer Device / On Device CVM. Od jakichś 6 lat bodajże ?

    Tak sobie dywagując… „Stosując bezpośrednio smartfon jako terminal, nie mamy pewności, czy PIN nie zostanie zapamiętany w urządzeniu w trakcie przetwarzania bądź też przechwycony przez inną aplikację.”
    Pewności to ja nie mam i przy zwykłych terminalach, bo nie widziałem kodu wszystkich aplikacji. Do tego wiem, że co jakiś czas na serwisach typu „get a freelancer” pojawiają się zlecenia na napisanie aplikacji na terminale, która będzie służyć gromadzeniu danych (PIN + track2) – nawet na YouTubie parę razy trafiłem na „komercyjne dema” takich rozwiązań na rynki wschodnie, a już „rozwaliła” mnie aplikacja, gdzie się wybierało, który bank/acquirera ma się udawać (- czyli ekrany i paragony jak w oryginale).

    Odpowiedz
  • 2018.11.26 13:19 Mikołaj

    nie bądźcie głupkami, nie płaćcie telefonami ! Wtedy krakerzy mogą ukraść wam żetony

    Odpowiedz
  • 2018.11.26 19:27 Michal

    Autorze,
    albo solidna architektura systemu operacyjnego (jak iOS) albo security-theatre i inne pseudo-łatki w postaci antywirusa na telefonie.

    Odpowiedz
  • 2018.11.27 11:42 Ja

    Raczej nie zaplacilbym karta jak ktos by mi przystawil telefon jako terminal. Nie wiadomo co tam jest jeszcze zainstalowane itp. Co onnego blik. Gdzie musze zezwolic na transakcje na moim telefonie.

    Odpowiedz
  • 2018.11.29 10:50 Krzysztof Kozłowski

    Zastanawia mnie jaki sens ma ładowanie w telefony czytników kart i pchanie się w rozwój technologii kart. Mamy taki blik. Ciekawy i bezpieczny system. Myślę że jednak przyszłość pójdzie w tym kierunku. Wiem karta nie potrzebuje prądu żeby nią zapłacić a jak nam padnie telefon to jesteśmy w czarnej ciemnej… Ale są i czeki blik Więc da się wszystko dość łatwo obejść.

    Odpowiedz
    • 2018.11.29 13:21 NoWayToPay

      Odpowiem anegdotą z rynku brytyjskiego: każda sekunda więcej na transakcji to milion funtów straty w skali roku. To w przypadku samego tylko Tesco (tamże).

      Odpowiedz
      • 2020.03.03 12:32 krzysztof

        masz źródło na to?

        Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Zapłacisz kartą na cudzym smartfonie? Analiza terminali na telefonie

Komentarze