TECHNOLOGIE

Akademici obcházejí PIN kódy pro bezkontaktní platby Visa

Akademici obcházejí PIN kódy pro bezkontaktní platby Visa

Tým švýcarských akademiků ze Švýcarského federálního technologického institutu v Curychu (ETH) objevil bezpečnostní chybu, kterou lze využít k obcházení bezkontaktních PINů Visa. To znamená, že pokud mají kyberzločinci ukradenou bezkontaktní kartu Visa, mohou s ní kromě limitu pro bezkontaktní transakce a bez zadání PIN kódu pro kartu platit i drahé produkty. mapa.

Podle akademiků je útok extrémně nenáročný a může být snadno zaměněn za zákazníka platícího za produkty, které používají mobilní peněženku nainstalovanou v jejich smartphonu. Ve skutečnosti však útočník platí za data přijatá z (ukradené) bezkontaktní karty Visa, která je ukryta na útočníkově těle.

Podle výzkumné skupiny takový útok vyžaduje dva smartphony Android, speciální aplikaci pro Android vyvinutou výzkumnou skupinou a bezkontaktní kartu Visa. Na obou smartphonech je nainstalována aplikace pro Android, která funguje jako emulátor karty a emulátor v místě prodeje.

Použití dvou emulátorů

Telefon, který napodobuje prodejní zařízení, je umístěn poblíž odcizené karty, zatímco smartphone, který funguje jako emulátor karty, slouží k placení za zboží.

Obrázek: ETH Curych.

Emulátor prodejního místa požádá kartu o provedení platby, změní podrobnosti transakce a poté odešle změněné údaje prostřednictvím Wi-Fi na druhý smartphone, přičemž provede velkou platbu bez zadávání PIN kódu (protože útočník transakci upravil údaje, že PIN kód není vyžadován). „Naše aplikace nevyžaduje oprávnění root systému ani sofistikované hackování systému Android a úspěšně jsme ji použili na zařízeních Pixel a Huawei,“ popisují vědci.

Technicky je útok možný díky tomu, co vědci popisují jako konstrukční chyby ve standardu EMV a bezkontaktních protokolech Visa.

Úprava dat zahrnutých v transakci

Tyto problémy umožňují útočníkovi upravit data zahrnutá v bezkontaktní transakci, včetně polí, která řídí informace o transakci. „Metoda ověřování držitelů karet použitých v transakci, pokud existuje, není ani ověřena, ani kryptograficky chráněna před změnami,“ vysvětlují vědci. Útok spočívá v úpravě dat pocházejících z karty – „Kvalifikátorů transakcí karty“ – před jejich doručením do terminálu. Změna terminálu říká, že: (1) ověření PIN není nutné a (2) držitel karty byl ověřen na zařízení spotřebitele (např. Smartphonu) “, dodávají.

Tyto změny jsou provedeny na smartphonu se spuštěným emulátorem prodejního místa, než jsou odeslány na druhý smartphone a poté předány skutečné prodejní jednotce, která nemohla zjistit, zda se údaje o transakcích změnily.

Švýcarští vědci uvádějí, že svůj útok testovali ve skutečných obchodech. Útokem se podařilo obejít PIN kódy kreditních karet Visa, Visa Electron a VPay. Curychský tým ETH informoval Visa o svých výsledcích.

Zdroj: ZDNet.com

Botón volver arriba

Byl zjištěn blokovač reklam

Chcete-li nadále používat naši webovou stránku, musíte odstranit BLOKOVÁNÍ REKLAMY. DĚKUJEME