Tag Archives: mobile point-of-sale

SyScan 2014 ?????????????

      No Comments on SyScan 2014 ?????????????

syscan image.png

業界のカンファレンスは、セキュリティに関する新しい動向を知り、最新の情報を入手するうえで絶好の場所です。私が先日参加した SyScan(Symposium on Security for Asia Network)は、毎年シンガポールで開催されているカンファレンスで、世界中からコンピュータセキュリティの研究者が集います。今年の SyScan では、セキュリティに関する俗説が払拭されたほか、いくつか興味深いトピックについて議論が交わされました。今年の SyScan で私が興味を覚えたテーマとデモを以下に挙げておきます。

スマートカーのリスク
最近の自動車はほとんど、エンジンコントロールユニット(ECU)というコンピュータを装備しており、エンジンと他の構成要素との通信が可能です。SyScan 2014 に参加した研究者は、オンラインストアで購入した中古の ECU デバイスを使って、デスクトップ上で自動車環境のシミュレーションに成功したことを報告しました。この研究者によると、加速やブレーキ、ハンドル操作といった基本的な運転操作を実行できたほか、その基盤となっている自動車専用プロトコルも理解できたと言います。つまり、ひとたび攻撃者が ECU の制御権を握ったら、自動車をひととおり制御できるようになるということです。

自動車の ECU を制御できるというのは、窓の開閉やライトの点消灯といった自動機能を操作できることよりもはるかに危険です。攻撃者に ECU の制御権を奪われないようにする万全な対策が講じられないとしたら、それほど怖いことはありません。モノのインターネット(IoT)の一部になる自動車が増えれば増えるほど、これは深刻な問題になるでしょう。Microsoft 社は最近、Windows 車載情報システムの最新バージョンをテストしており、Apple 社からはすでに CarPlay が発表されています。CarPlay は、車に組み込んだディスプレイに iPhone のインターフェースを表示できるエンターテインメントシステムです。

携帯 POS がマルウェアに感染
2014 年には、店頭レジ端末(POS)を狙うマルウェアがすでに出現しており、その一部は小売業界に対する大規模な攻撃にも利用されていました。最近では、携帯 POS(mPOS)端末も標的になりつつあります。mPOS デバイスは、特に中小規模の企業で、カード決済に多く利用されるようになってきています。

大部分の mPOS デバイスは Linux 上で稼働していますが、SyScan に参加した研究者はリムーバブルドライブや Bluetooth を利用して mPOS デバイスに侵入し乗っ取ることに成功したと言います。その主張を証明するために、この研究者は mPOS デバイスにゲーム「Flappy Bird」をインストールし、暗証番号入力ボタンをコントローラとして使って、そのデバイスの液晶画面で Flappy Bird をプレイしました。

また、支払い情報を追跡できるマルウェアがあれば mPOS デバイスを攻撃できるという可能性についても指摘しています。攻撃に成功すれば、オンラインで記録を共有することも、あるいは任意の暗証番号でカードの決済を受け付けるといった特殊な機能を実行することもできるのです。

RFID デバイスと NFC デバイスの普及
今では誰もが、電波による個体識別(RFID)と近距離無線通信(NFC)に対応したデバイスで通信するようになっています。カード式のドアロック、カード型乗車券、非接触型クレジットカードなどが日常的に使われており、電波は至るところに飛び交っています。

「RFIDler」は、汎用タグの読み書きに使われる、オープンソースの低レベル RFID 通信プラットフォームのプロトタイプとして SyScan で提唱されました。RFIDler は、間もなく一般に利用できるようになる予定です。RFIDler は使い方も簡単ですが、損害を与えるのも同じくらい容易であることに注目が集まりました。たとえば、既存のカードはものの数秒もあれば複製できてしまいます。RFIDler プラットフォームの開発者によると、カードのフォーマットが不明な場合でも、プラットフォームの拡張性ゆえに、1 週間足らずで新しいフォーマットを追加できるということです。

今では拡張性の高いリーダーやライターが存在するので、こういったデバイスが攻撃の標的になるのも時間の問題かもしれません。

モバイルセキュリティと匿名性
スマートフォンなしでは生活できないというほどのユーザーであれば、デバイスをなくした結果の深刻さについても考えたことがあるでしょう。そうした不安を和らげるために、SyScan 2014 に参加したある研究者は Android の強化型 ROM ソリューション、通称「Cryptogenmod」を発表しました。Cryptogenmod のベースになっている Cyanogenmod は、Android をベースにしたモバイルデバイス用のオープンソース OS です。Cryptogenmod の目的は、リモートアクセスと物理アクセスに対する保護機能を最小限の ROM に実装することにあります。リモートアクセスに対する保護は、攻撃対象領域を減らすことによって実現しているので、スマートフォンに Web ブラウザやアプリストアは搭載されません。物理アクセスに対する保護はこれよりも複雑で、セキュアなアプリケーションコンテナ、強力な暗号化、悪影響のある環境に関するいくつかの指標などを利用して実現されます。

その他の安全対策として、SIM カードの取り外しや、デバッガの接続を検出する機能も紹介されました。このような行為が検出された場合には、アプリケーションコンテナのマウントが解除され、再度開くためにはパスコードが必要になります。同時に、スマートフォンは自動的にロックされ、所有者でなければ再ログインできなくなります。このソリューションがあれば、スマートフォンを紛失した場合でもデータの安全は確保されます。とはいえ、インターネットに接続されていながら Web を閲覧することもできず、カメラも使えない(カメラからユーザーの位置情報が漏えいすることが知られています)デバイスを使いたいと思うユーザーがいるかどうかは疑問です。それでは、どう考えても「スマートフォン」ではありません。

総じて言うと、スマートフォンも依然として注目を集めるテーマである一方、今後の見通しとして業界の話題が集中しているのは、やはりモノのインターネットです。それほど人々は、時間と労力を節約するためにスマートデバイスへの依存を徐々に強めているのです。

さらに詳しくは、SyScan の Web サイトで公開されているビデオやホワイトペーパーをご覧ください。

 

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

Highlights from the SyScan 2014 Conference

syscan image.png

An industry conference is always a good place to learn and get updates on the latest security trends. I recently attended the Symposium on Security for Asia Network (SyScan), an annual conference held in Singapore, which brings together computer security researchers from around the world. This year, security myths were dispelled and several interesting topics were discussed at the conference. The following is a list of some of the topics and demonstrations I found interesting at this year’s conference.

Smart cars at risk
Most cars today contain Engine Control Units (ECUs), computers that enable the engine to communicate with other vehicle components. Researchers at SyScan 2014 explained how they managed to simulate a car environment on their desktop using second-hand ECU devices purchased from online Web stores. The researchers managed to carry out basic automotive actions such as acceleration, braking and steering, as well as gain an understanding of the underlying proprietary protocols of the car. What this means is that once an attacker gains control of the ECU, they can basically control the car.

Being able to control a car’s ECU is far more dangerous than being able to manipulate its automation functions such as opening closing windows and turning lights on and off. It is pretty scary if adequate controls are not put in place to prevent an attacker from gaining control of the ECU. This could become more problematic as more and more cars become part of the Internet of Things (IoT). Microsoft has recently tested the latest version of their Windows in-vehicle infotainment system, while Apple already unveiled CarPlay, an entertainment system that enables users to see their iPhone interface on a car’s built-in display.

Mobile point-of-sale infected with malware
2014 has seen the emergence of several point-of-sale (PoS) malware, some of which were involved in several high-profile attacks against the retail industry. Today, mobile point-of-sale (mPOS) terminals have also become a target. mPOS devices are often used for card payments, especially for small and medium-sized businesses.

Most mPOS devices run on Linux, and researchers at SyScan were able to compromise and take over an mPOS device by using removable drives or Bluetooth. To prove their claims, they installed the game Flappy Bird on the device, and then played it on the device’s LCD screen using the PIN input buttons as the controls.

The researchers highlighted how mPOS devices can be hit by malware that can keep track of payment information and subsequently share the records online, or perform special functions such as making  the device accept payment from cards using any PIN code.

The proliferation of RFID and NFC devices
Today, everyone interacts with radio frequency identification (RFID) and near field communication (NFC) enabled devices. They are present in our door-entry cards, transport cards and contactless credit cards. Radio waves are everywhere!

The “RFIDler”, a low-level RFID communication open-source platform prototype presented during the conference, is used to read and write common types of tags. The platform will soon be available to the general public. It was interesting to see how easily it can be used, as well as the potential damage it can cause. For example, an existing card can be duplicated in a couple of seconds. According to the platform’s author, even if a card format is unknown, the platform is extensible and a new card format can be added in less than a week.

Now that a common extensible reader and writer exist, how long will it be before these devices become targeted by attackers??

Mobile security versus anonymity
Users who cannot live without their smartphones may have already thought about the consequences of losing their devices. To help ease those fears, a researcher at SyScan 2014 presented a hardened Android Read-Only Memory (ROM) solution that he created, dubbed Cryptogenmod. Cryptogenmod is based on Cyanogenmod, an open-source operating system for mobile devices based on Android. The  aim is to provide a minimal ROM with remote and physical access protection. Remote protection is achieved by reducing the attack surface, so there will not be a Web browser or an app store on the smartphone. Physical access protection is more complex and is achieved by using secure application containers, strong encryption, and some indicators of a negative operational environment.

Other safeguards were described including one which detects if a SIM card is removed or a debugger is attached. If one of these actions is detected, the application containers will be unmounted and require a passphrase to be opened again, while the phone will be locked automatically and require the owner to login again. With this solution, should you lose your phone, your data will remain secure. However, I am not sure if users want a device that is connected but does not allow them to surf the Web or even use the camera (which is known to leak the user’s location). That sounds like a not-so-smartphone.

Overall, while smartphones are still a hot topic I expect to see the Internet of Things dominate industry discourse for the foreseeable future as people gradually delegate tasks to smart devices in order to save themselves time and effort.

To find out more, check out the videos and published papers at SyScan’s main website.