小型カード読み取り機「Squareリーダー」をハッキングして
スキミングに利用できることがあきらかに


スマホに接続して簡単に使えるカード読み取り端末「Squareリーダー」。
お店の規模にかかわらず、気軽にクレジットカード決済を導入できてしまう便利なデバイスです。
ただし、簡単にスキミング・デバイスになってしまう危険性もあるみたいです。

セキュリティ研究者は、おもに2つの方法があると説明しています。
1つめのやり方では「Squareリーダー」を改造して暗号化システムを無効化、カード情報を読みとります。
改造は10分もあれば十分とのこと。さらに、見た目は「Squareリーダー」そのまま。
悪意ある店員もしくは第三者が盗んだクレジットカード情報を盗んで、売りさばくことができてしまいます。
また、この方法ではスワイプを行なったという情報は残らず、被害者のクレジットカード情報だけが残るのだとか。

さらに、2つめの方法では「Square」リーダーの改造などは不要。
なぜなら、お客さんがクレジットカードがスワイプした回数だけ、店側はそのトランザクションを後で実行することができるからです。
つまり、わざとお客さんに複数回スワイプしてもらい、そのなかのいくつかのデータをSquareのサーバーに送信せず、
まったく別の決済に利用することができるんです。さらにアプリ上にその情報を戻しておくことが可能なのだとか。しかも順番もバラバラで問題なし。

研究者の一人であるAlexandrea Mellenは、次のように指摘しています。

つづき http://www.gizmodo.jp/2015/08/squarega.html