ПолiтДумка

Ученые смогли обойти PIN-коды для бесконтактных платежей Visa

29 августа
10:26 2020

Команда исследователей из Швейцарской высшей технической школы Цюриха обнаружила уязвимость, с помощью которой возможно обойти PIN-коды для бесконтактной оплаты Visa и совершать дорогостоящие покупки, выходящие за предел бесконтактной транзакции без необходимости ввода PIN-кода.

По словам ученых, атака совершенно незаметна и может быть воспринята так, будто покупатель платит за товар с помощью мобильного/цифрового кошелька, установленного на смартфоне, хотя на самом деле оплата совершается с помощью украденной бесконтактной карты Visa, спрятанной на теле злоумышленника.

Проблема связана с недочетом в дизайне стандарта EMV и протоколе бесконтактных платежей Visa. Уязвимость заключается в отсутствии механизмов аутентификации или шифрования, что позволяет атакующему изменить данные в бесконтактной транзакции, включая информацию об управлении транзакцией и была ли карта верифицирована владельцем.

Для успешной атаки преступнику потребуется два Android-смартфона, специальное мобильное приложение и бесконтактная карта Visa. На одном смартфоне приложение работает в качестве эмулятора карты, а на втором — PoS-терминала. При этом эмулятор PoS-терминала должен находиться вблизи карты, а второй смартфон (эмулирующий карту) используется для оплаты покупок.

Суть атаки в том, что PoS-эмулятор запрашивает карту совершить платеж, модифицирует данные транзакции (указывая, что ввод PIN-кода не требуется), а затем передает информацию по Wi-Fi другому смартфону, с которого и совершается оплата без PIN-кода.

Как пояснили исследователи, разработанное ими приложение не требует прав суперпользователя или других «продвинутых хаков». Эксперты уже протестировали свой метод на смартфонах Huawei и Google Pixel в реальных магазинах. Они смогли успешно обойти PIN-коды при использовании карт Visa Credit, Visa Electron и VPay.

Помимо обхода PIN-кодов, эксперты обнаружили еще одну проблему, на этот раз связанную с offline-транзакциями при использовании карт Mastercard и Visa. Ее суть состоит в том, что в ходе бесконтактных транзакций в режиме offline не осуществляется аутентификация ApplicationCryptogram (криптографическое подтверждение транзакции, которое может подтвердить только эмитент карты, но не платежный терминал). Таким образом злоумышленник может заставить терминал принять неавторизованную offline-транзакцию.

Как пояснили эксперты, вторая атака не тестировалась в реальной жизни по этическим соображениям.

Источник: bin.ua


Warning: count(): Parameter must be an array or an object that implements Countable in /home/politdumkakiev/public_html/wp-content/themes/legatus-theme/includes/single/post-tags.php on line 5
Share

Статьи по теме

Последние новости

Держдеп працює, щоб передати новій владі найсильніші позиції в питанні України — Блінкен

Читать всю статью

Мы в соцсетях

Наши партнеры

UA.TODAY - Украина Сегодня UA.TODAY

EA-LOGISTIC: Международные грузоперевозки – всегда своевременно и надежно!