Hagas lo que hagas, no le des a este programable tarjeta de pago a su mesero

Hagas lo que hagas, no le des esta tarjeta de pago programable a tu meseroEnlargefuzecard.com

Los creadores de la tarjeta inteligente programable Fuze dicen que es potente lo suficiente como para ser su billetera en una tarjeta pero lo suficientemente segura como para ser utilizada de la misma manera que las tarjetas de pago tradicionales, incluso confiando en servidores de restaurantes al pagar la factura. Pero resulta que La conveniencia viene con una captura importante. Un defecto hace posible que cualquier persona con incluso un breve control físico de la tarjeta para subrepticiamente desvíe todos los datos almacenados en el dispositivo.

Los representantes de Fuze dijeron que son conscientes de la vulnerabilidad y planean arreglarlo en una actualización programada para el 19 de abril. También agradeció a los dos investigadores que, independientemente uno del otro, descubrió la vulnerabilidad y la denunció en privado. Hasta aquí, sin embargo, los funcionarios de Fuze aún no han informado completamente a los usuarios del alcance del riesgo para que puedan evitar que los datos privados almacenados en el tarjetas robadas o manipuladas hasta que la falla crítica sea reparado

Suposiciones defectuosas

Mike Ryan, uno de los dos investigadores, dijo que creó un ataque. código que se hizo pasar por la aplicación de Android que usa un Bluetooth conexión para cargar datos de tarjetas de crédito en las tarjetas inteligentes. Mientras que la La aplicación oficial de Fuze se encarga de evitar el emparejamiento con tarjetas que ya se ha configurado con otro dispositivo, la aplicación maliciosa de Ryan tenía No hay tales restricciones. Como resultado, le permitió tomar completa control de una tarjeta, incluyendo leer, cambiar o agregar pagos números de tarjeta, fechas de vencimiento y valores de verificación de tarjeta.

Ryan dijo que la vulnerabilidad parecía provenir de un “descuido en torno a los supuestos de quién podría comunicarse con el tarjeta “La suposición parece ser que” si alguien se apodera de su tarjeta, nunca intentarían emparejar la tarjeta a través de Bluetooth y descargue los datos “. Informó de la vulnerabilidad aquí la semana pasada. A El video de su hazaña está abajo.

Robar tarjetas de crédito de FUZE por Bluetooth – CVE-2018-9119

El fundador de la firma de seguridad ICE9 Consulting, Ryan encontró el vulnerabilidad utilizando una máquina de rayos X y herramientas de software forense para Realice ingeniería inversa del funcionamiento interno del Fuze. Después analizar el proceso de emparejamiento y la forma en que la aplicación se comunicó con la tarjeta, descubrió rápidamente que era posible para cualquiera con control físico para ver o manipular todos los datos secretos que eran diseñado para almacenar de forma segura.

Los funcionarios de Fuze merecen crédito por arreglar la falla y establecer una dirección de correo electrónico dedicada para recibir informes de vulnerabilidad de seguridad después de que Ryan tuvo problemas para responder sus mensajes iniciales. Pero la falta de un aviso de seguridad adecuado muestra que la compañía aún Tiene más mejoras para hacer. La empresa debe dejarlo claro que, hasta que se instale la actualización, los usuarios de Fuze siempre deben mantener un control estricto de sus tarjetas y no entregarlas a los camareros como se sugiere en su sitio web.

La promesa de Fuze es atractiva: una sola tarjeta de pago del tamaño de una tarjeta dispositivo que almacena electrónicamente datos para docenas de otras tarjetas. Con solo presionar un botón, el usuario puede elegir la tarjeta facturado y deslizar la tarjeta en una terminal de punto de venta o entregárselo al comerciante. The Fuze cambiará sin problemas los datos exhibido en su banda magnética.

La vulnerabilidad es un recordatorio de que la seguridad de sonido a menudo funciona con propósitos cruzados con el tipo de conveniencia, Fuze es prometedor. El sitio web de la compañía dedica una gran cantidad de espacio a características que ofrece y la facilidad de usarlas, pero ofrece comparativamente poco espacio para describir su seguridad.

Lectores que estén considerando comprar tarjetas de crédito programables. debería reconsiderar fuertemente. Por lo menos, deberían invertir tiempo pensando en los riesgos potenciales, particularmente si el el fabricante no puede señalar a un auditor de seguridad independiente que tenga Probado el producto.

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: