A mobiltelefonos fizetés gyenge pontjainak bemutatását tűzte ki céljául a hét végén a nevadai Las Vegasban tartott Def Con hackertalálkozó. A különböző fizetési és azonosítási módokra alkalmas okostelefonok kedvelt célpontjai a hackereknek. A kalózok egyre inkább olyan készülékek iránt érdeklődnek, amelyek állandóan be vannak kapcsolva. Ráadásul - a Pew amerikai kutatóintézet áprilisi felmérése szerint - tíz év múlva általánossá válik a mobiltelefonos fizetés. "Mi van ma egy tárcában? Személyazonossági iratok, fizetőeszközök, személyi okmányok. Mindez óhatatlanul felkerül majd egy hordozható készülékre" - hangoztatta Hal Varian, a Google közgazdásza, akit a Pew idézett. Eddie Lee, a Blackwing Intelligence nevű cég biztonsági szakértője a Def Con találkozón bemutatta, hogyan lehet meghackelni a Google Android rendszere alatt működő mobiltelefont, hitelkártya-adatokat lehalászva róla és ezeket vásárlásra felhasználni. "Más hitelkártyájával is lehet vásárolni, úgy felhasználva, mintha a Google Wallet-tel tenné. Az egyes telefonfajtákkal való fizetést lehetővé tévő szoftvert a Google tavaly vezette be. "Régóta tudjuk, hogy az RFID-kártyákat (Radio Frequency IDentification, automatikus azonosításhoz és adatközléshez használt technológia) meg lehet hackelni - mondta Eddie Lee. A szakértő szerint ugyanúgy lehet idegen kártyákról pénzt költeni, mint ahogyan az utazáshoz vásárolt jegyekkel vagy beléptetőkártyákkal visszaélni. Charlie Miller, a telefon-lehallgatásokra létrehozott szövetségi szerv, a Nemzeti Biztonsági Ügynökség egykori elemzője bemutatott egy rendszert, amellyel érzékelő segítségével be lehet hatolni egy telefonkészülékbe, ha az kellő távolságra van ahhoz, hogy egy NFC-csip jeleit fogni tudja. (A NFC - Near Field Communication - rövid hatótávú kommunikációs szabványgyűjtemény okostelefonok és hasonló, általában mobil eszközök között egymáshoz nagyon közel helyezéssel létrejövő rádiós kommunikációra.) Miller szerint, aki jelenleg az Accurant biztonsági cég tanácsadója, egyes esetekben egy NFC-csippel ellátott telefont teljes egészében "birtokba lehet venni", el lehet lopni a benne tárolt fotókat és címlistákat, sőt telefonálni is lehet "vele". A szakértő szerint a hackeléshez elegendő egy antennát elrejteni egy matrica mögé, és közel vinni hozzá a telefont. A POS terminál közelében elhelyezett ártalmatlan matrica így valóságos aranybánya lehet a számítógépes kalózok számára. "Egy rosszfiú fel tudja használni azt a pillanatot, amikor a telefon a hálózatra kapcsolódik, és ellophatja az adatokat. Az NFC-csip divatos ötlet, praktikus, szórakoztató, de nagyon oda kell figyelni a biztonsági következményekre" - mondta. A mobilfizetés kockázatai Mint minden biztonsági területnél, a mobilbiztonságnál sem elegendő egy-egy összetevő védelmére koncentrálni, hiszen minden infrastruktúra olyan erős, mint amilyen a leggyengébb láncszeme. Ezért a mobilfizetések kapcsán is célszerű rendszerszemlélettel közelíteni a kockázatok feltárása felé. Fenyegetettségek ugyanis a protokollok, illetve a hardverek és szoftverek szintjén egyaránt jelentkeznek. Emellett arról szem szabad megfeledkezni, hogy ezúttal is egy többszereplős környezetről beszélünk, ahol bankok, mobil- és pénzügyi szolgáltatók, kereskedők, valamint vásárlók is részt vesznek a folyamatokban. Az elmúlt években a mobilfizetéshez használt protokollok sokat fejlődtek, azonban implementációs hibák bármikor felmerülhetnek. Ebből a szempontból mind a biztonsági kutatók, mind a fekete kalapos hackerek figyelmet fordítanak a GSM esetleges gyengeségeinek feltárására. Azonban ennél jóval komolyabb veszélyt jelentenek a kriptográfiai algoritmusokban rejlő hibalehetőségek. Ezek kihasználásával ugyanis közbeékelődéses (man-in-the-middle) támadásokra vagy megszemélyesítésre épülő csalásokra is lehetőségük nyílhat a támadóknak. Nyilvánvalóan a protokollok megfelelő kezelésének és támogatásának mind fejlesztői, mind szolgáltatói oldalon jelentős szerepet kell kapnia. A hardverek, az operációs rendszerek és a szoftverek szintjén jelentkező kockázatokkal azonban már nemcsak a szolgáltatóknak és a fejlesztőknek kell foglalkozniuk, hanem maguknak a végfelhasználóknak is. A biztonságtudatosság ugyanis elengedhetetlen ahhoz, hogy védelmi technológiákkal el lehessen érni a kívánt végső célt, azaz a biztonságos fizetést. A hardver szintű fenyegetettségek egyik legtöbbször hangoztatott eleme a mobilkészülékek és eszközök illetéktelen kezekbe kerülése. Hasonló problémákat vetnek fel a SIM-kártyák klónozása révén megvalósuló csalások is. Ezért rendkívül fontos, hogy a fizetéseket kezelő alkalmazások olyan hitelesítő mechanizmusokat támogassanak, amelyek révén a jogosulatlan pénzügyi tranzakciók megakadályozhatók. Ebből a szempontból lényeges szerepet kell kapniuk a jelszavas és biometrikus hitelesítési technikáknak. Szolgáltatói oldalon pedig a tranzakció-monitorozás fontossága értékelődik fel; hiszen ha egy pénzintézet képes felismerni - például az ügyfél korábbi vásárlási szokásainak értékelése alapján - a különböző anomáliákat, akkor megelőző lépéseket tehet. Ilyen megoldások már napjainkban is elérhetők, azonban a mobilfizetések miatt szükség lesz ezek kiterjesztésére. A jövőben a mobilfizetések kapcsán a legtöbb problémát minden bizonnyal a szoftver szintű károkozások fogják jelenteni, amelyek az operációs rendszerek vagy a különféle alkalmazások sérülékenységeinek kihasználásával igyekeznek majd pénzhez juttatni a csalókat. Nyilvánvalóan nemcsak maguk a mobilalkalmazások lehetnek sérülékenyek, hanem azok a fejlesztőkörnyezetek is, amelyekben készülnek. Már napjainkban is mind nagyobb problémát jelentenek a mobil operációs rendszerekkel kompatibilis kártékony kódok. A kockázatokat csökkenteni kell annak ellenére, hogy ezek számossága és változatossága jóval elmarad a Windows-alapú rendszereket fenyegető ártalmas programoktól. Mindez már csak azért is fontos, mert a támadások jelentős részét anyagi haszonszerzés vezérli, és a mobilvírusok jelentős hányada emelt díjas SMS-ek küldéséből, illetve adatlopásból is „kiveszi a részét". Többszintű védelem A Smart Card Alliance már évekkel ezelőtt foglalkozni kezdett a mobilfizetés biztonságával, és különös hangsúlyt helyezett az érintés nélküli technológiák vizsgálatára. A kutatók arra a következtetésre jutottak, hogy a védelmet ez esetben is egy összetett, többlépcsős folyamat révén lehet megvalósítani. Ennek részét kell képeznie az üzleti folyamatok elemzésének, a fenyegetettségek és a sérülékenységek feltárásának, a kockázatértékelésnek, a kockázatok csökkentésére alkalmas megoldások fejlesztésének és a biztonsági szabályok bevezetésének is. A biztonságos fizetés - ahogy azt korábban említettük - több szereplő hathatós közreműködésének eredményeként valósulhat meg. Emellett az üzleti folyamatok és a technológiák szintjén is meg kell hozni a szükséges intézkedéseket. Ami a technológiát illeti, a legfontosabb a fizetéshez használt alkalmazások, az elfogadóhelyeken üzemeltetett eszközök, terminálok, valamint a mobileszközök és a tranzakciókban részt vevő egyéb hardver-, illetve szoftverelemek megóvása. Ahhoz, hogy a tranzakciók megbízható módon legyenek kezdeményezhetők és végrehajthatók, a biztonsági folyamatokat több ponton kell megerősíteni. A védelmi intézkedéseknek ki kell terjedniük az eszközmenedzsmentre, a hitelesítésre, az authorizációra és nem utolsósorban a pénzügyi adatok megfelelő kezelésére. Ez utóbbira külön is ki kell térnünk, ugyanis már napjainkban is komoly kihívásokkal küzd a mobilkészüléken való adattárolás. A viaForensics kutatói egy felmérést készítettek, amelynek során többek között a mobilalkalmazásokban található biztonsági megoldásokra voltak kíváncsiak. Összesen száz népszerű - különféle mobil operációs rendszerekhez kifejlesztett - szoftvert vettek górcső alá, majd megállapították, hogy a programok 83 százaléka nem felel meg az alapvető biztonsági követelményeknek. A legtöbbször azért buktak el az alkalmazások a teszteken, mert az általuk kezelt adatokat nem védett módon tárolták. Sokszor még a jelszavak is titkosítatlanul voltak megtalálhatók a készülékeken.