AfterPay: Kesän tietoturvasammakko nfc-tarrasta luodulle virtuaalirahalle
Kesän eittämätön erikoisuus oli mediaseksikkäältä kalskahtava maksuranneke AfterPay, eräänlainen kyberaikakauden piikki juomaravintolassa asioitaessa. Valitettavasti vain tunnisteen piikkiin voi huonolla tuurilla juoda koko kylä ja laskut tulevat perästä.
Helsingin rautatientorilla rilluttelutapahtumassa testatusta AfterPaysta puuttuvat pankkikortista tutun lähimaksamisen tärkeimmät turvaominaisuudet. Se on helppo kopioida, ja tekniikka sallii jopa 500 euron ostokset pankkikorttien muutaman kymmenen euron sijaan.
Kuinka tällainen on mahdollista?
Suomalaisten viranomaisten jo laittomaksikin epäilemä perintätoimisto Gothia Oy:n arvato Finance -projektin lanseeraama AfterPay-ranneke on ollut koekäytössä omalla luvallaan. Rannekelähimaksu perustuu nfc-standardin spesifikaatioon. Simppeliä lähimaksuratkaisua on pilotoitu ainakin Helsingin Suuret Oluet – Pienet Panimot ‑tapahtumassa. Rannekkeella ostetaan juomia, jotka laskutetaan jälkikäteen.
Murhaavin asiantuntija-arvio AfterPay-rannekkeiden tietosuojasta tulee kyberturvallisuusasiantuntija Harry Sintosen blogista: tarran kopioiminen onnistuisi ”muutamissa sekunneissa” esimerkiksi Android-puhelimella. Tämän jälkeen krakkeri voisi alkaa ostaa tuotteita rannekkeen omistajan piikkiin.
Sintosen tekemän kokeen mukaan AfterPay-rannekkeissa käytettävä tunnistetarra on kopioitavissa älypuhelimella 5–10 sentin etäisyydeltä. Tämän jälkeen kopion tarrasta voi kirjoittaa kiinalaiselle alle euron hintaiselle nfc-tunnisteelle. Jokaisella kopiotarralla voi kitata 500 euron arvosta.
Rannekeyrittäjän julkisen vastineen mukaan 2.0-rannekeversio valmistuu ”lähiaikoina” ja siinä on määrä käyttää jo sirutunnisteita, joita ei tiedetä koskaan murretun. Jatkossa spesifikaatioon mukaan tulee myös kloonauksen esto. Hyvä näin.
Mutta miksi keskeneräinen maksuväline tuotiin markkinoille yleisötapahtumaan? Jos ja kun kopioitu tarra on täysin identtinen alkuperäisen kanssa, ei järjestelmä pysty erottamaan kopiotarralla tehtyä ostelua.
On selvinnyt, että helsinkiläisen Gothia Oy:n nimiin rekisteröity avato Finance -aputoiminimi oli tehnyt riskianalyysin rannekkeen pilotointia varten. Analyysissa todettiin, että vaikka tapahtumassa olisi tuhansia kävijöitä, uhka väärinkäytöksille pysyy silti vähäisenä jopa toimittaessa rannekkeen nykyisellä tarrateknologialla.
Pahinta on nähdäksemme, jos bittimuotoista rahaa voidaan luoda tyhjästä tallennusteknologiaa manipuloimalla. Nyt esillä ollutta alkeellista nfc-standardia kehittyneemmätkään bittirahajärjestelmät eivät ole kunnolla onnistuneet vakuuttamaan pankkijärjestelmiä transaktioiden turvallisuudesta, esimerkkinä vuonna 1995 maksuälykorttikokeilunsa aloittanut MasterCard Mondex. Raha siirtyy sirulta toiselle turvallisesti, mutta onko järjestelmä muuten aukoton ammattimaisen rikollisuuden varalta. On selvää, että valmistaja ottaa vastuun kaikista petoksista, jos sellaisia ilmenee.
Entäpä jos mediaseksikkäältä kuulostavan rannekekaupankäynnin katsotaan mahdollistavan velaksi anniskelun? Helsingin keskustassa järjestetyssä Suuret oluet – pienet panimot -tapahtumassa tarjolla olleesta viinarannekkeesta ei ollut kerrottu, kun anniskelulupaa haettiin Etelä-Suomen aluehallintoviraston alkoholiyksiköstä.
