ブラックハットアジア復旦大学の常勤准教授であるZhe Zhou氏によると、スマートフォンで支払いをするのは実に危険だという。同氏は昨日、シンガポールで開催されたブラックハットアジアで、3つの異なる支払い方法をクラックする方法を説明した。
「あなたの決済トークンはすべて私のもの:モバイル決済システムの脆弱性」と題した講演で、浙江省はモバイル決済には2つの弱点があると述べた。トークンは暗号化されていないこと、そしてトークンは単一の取引に結び付けられていないため、再利用や乗っ取りの可能性があるという点だ。
Zhe氏によると、モバイル決済ではスマートフォンがワンタイムトークンを生成し、それがPOS端末に渡される。トークンがどこかの決済サーバーで交換・検証されると、二度と利用できなくなる。そのため、収集したトークンを活用するコツは、トークンがPOS端末に渡らないようにし、有効期限が切れる前に、より高額の取引に使うことだ。
浙氏によると、磁気ストライプカードを模倣できるスマートフォンであれば、同様のことが可能だという。スマートフォンは、ワイヤレス充電用のコイルから電磁エネルギーを放射する「磁気セキュア伝送」(MST)と呼ばれる技術によって、このトリックを実現している。この技術を搭載したスマートフォンは、カードをスワイプした際に検知すると予想されるデータをPOS端末に送信する。浙氏によると、MSTの検知範囲は7センチメートルと予想されるが、25ドルの市販キットを使えば2メートルの距離から電波を検知できるという。このキットは、POS端末への信号到達を阻止し、未使用のトークンを回収することも可能だという。
Windows 10で青いQRコードが登場 ― マルウェアが好む理由
続きを読む
Google Indiaの「Tez」システムで使用されている音による決済も、同様の方法で乗っ取られる可能性がある。Zhe氏によると、音による決済は自動販売機でよく利用されており、機械の近くから、あるいは予期せぬ改変を加えることで、コードを記録するのは難しくないという。自動販売機がトークンの認証に無線接続を使用している場合、妨害装置によってその動作が阻止される。こうして攻撃者は有効なトークンを入手してしまうのだ。
Zhe氏による最も悪質な攻撃は、一部の決済でトークンとして使用されるQRコードを標的としていました。彼のトークンに対する戦術は、スマートフォンの前面カメラを密かに起動し、POSスキャナの保護カバーに映ったQRコードを撮影することでした。この攻撃はQRコードの構成も検出し、外観を微妙に変更して読み取り不能にします。しかし、スマートフォン上で攻撃を実行するマルウェアは、完全なQRコードを保持し、使用可能な状態を維持します。この手法は、スマートフォン間の決済に使用される悪質なQRコードの作成にも利用され、被害者の端末にマルウェアをダウンロードさせて実行させる可能性があります。
研究者は、中国最大のモバイル決済プロバイダーに自身の脆弱性を暴露したところ、同社はすぐにアプリのバージョンを無効化し、携帯電話の前面カメラを使ったあらゆるプロセスを探し出して破壊することを約束したと述べた。
Zhe氏は最後に、モバイル決済におけるすべてのトークン交換は暗号化され、チャレンジレスポンス方式が導入されるべきだと提言した。また、モバイル決済トークンは常に単一の取引に紐付けられ、再利用できないようにする必要があるとも述べた。®
