פרצת אבטחה בארנק הסלולרי של גוגל

גוגל השיקה לפני פחות משבוע שירות תשלומים באמצעות הסלולר בטכנולוגיית NFC. השירות, שנמצא בתקופת בדיקה, פועל רק בערים אחדות בארצות הברית. עם זאת, חוקרי אבטחה טוענים שלמרות ניסיונותיה של גוגל לאבטח את השרות, קיימות בו חולשות אבטחה. כך מדווח אתר PC World.

לדברי PC World, תשלומי NFC בצד המבצע אינם שונים מתשלומים ניידים המבוצעים כיום והמידע בצד ביצוע העיסקה נותר מאובטח על פי חוקי תקן PCI-DSS. נתוני כרטיס האשראי, שנשמרים במכשיר האנדרואיד הסלולרי, נשמרים על גבי שבב בו הם מוצפנים ולא ניתנים לגישה גם אם המכשיר עצמו נופל לידיים הלא נכונות.

הסכנה היא דווקא ביישום הארנק הסלולרי שמותקן על מכשיר הסלולר ומאפשר גישה לנתוני האשראי. אמנם, היישום עצמו דורש הכנסה של קוד בן 4 ספרות, אך יישומים שעוקפים את דרישת הקוד ומציגים את נתוני האשראי לאוחז במכשיר גם בלי הקוד, קיימים להורדה ברשת.

דווקא במקרה הזה, הגן הסגור של אפל משחק לטובתה. בניגוד לגוגל, שמאפשרת התקנה של כל ישום אנדרואיד על מכשירים שמריצים את המערכת, אפל מתעקשת לאשר כל יישום שנכלל בחנות היישומים למכשירים ניידים של החברה. כמובן שלא ניתן להתקין (ללא פריצת המכשיר) יישומים ממקורות אחרים, מה שבעצם מגן על מידע מאוחסן בחומרת המכשיר בפני יישומים זדוניים או סתם סקרנים מדי.

לידה קשה

לתשלומים הסלולריים צפויה ללא ספק לידה קשה, הן בגלל מגוון יצרניות החומרה ומערכות ההפעלה והן בגלל הקושי שבשינוי התנהגויות צרכנים. למרות הנוחות הרבה שתמונה בתשלום סלולרי כחלופה לתשלום מזומן או אשראי הפלסטיק המוכר לכולנו, אבטחת נתוני התשלום היא רק אחד האתגרים עימם צריכות להתמודד ספקיות השרות.