Az NJSZT blogja a legfejlettebb infokom technológiákról

Jelenből a Jövőbe

Lóvá tett hitelkártyák

2020. szeptember 10. - ferenck

Az ETH (Eidgenössische Technische Hochschule) Zürich kutatói komoly rést találtak az érintés nélküli fizetéshez használt EMV (Europay, Mastercard, Visa) szabványon.

Az érintés nélküli kártyák rendkívül népszerűek. Ha keveset kell fizetnünk, gyorsan és a koronavírus sújtotta valóságban egészségügyi kockázat nélkül rendezhetjük velük a számlát. Nagyobb összegekhez viszont biztonsági kódra van szükség.

E tranzakciók zöme a világszerte kb. 9 milliárd kártyára érvényes, még az 1990-es években kidolgozott, azóta többször megújított EMV-szabványon alapul.

pin.jpg

Más biztonsági szakértők eddig is találtak rajta támadási felületeket, az ETH szakértőinek munkája eggyel növelte a rések számát.  

A Visa által használt protokoll kritikus hézaga a PIN-kódot nagyobb összegű vásárlások során hatástalanítja, nem lehet bepötyögni, pedig akkor elvileg kötelező. A rés miatt csalók súlyosan visszaélhetnek elveszett vagy ellopott kártyákkal – pénzt emelhetnek le a tulajdonos számlájáról.

Más protokollal működő kártyákat (Mastercard, American Express, JCB) értelemszerűen nem fenyegeti ez a veszély. A Visához hasonlót használó Discovert és Union-Pay-t viszont igen.

A kártyák sérülékenységét tesztelendő, a kutatók androidos appot fejlesztettek, és telepítettek két NFC-s (készülékek között rövid hatótávú kommunikációt biztosító szabvány) okostelefonra. A telepítéshez az Android egyik biztonsági funkcióját sem kellett kikerülni, hatástalanítani.

Az NFC-t kihasználva, mindkettő olvassa a kártya chipjén található adatokat, és információt cserél a fizetésterminállal. Az első telefon leszkenneli a szükséges kártyaadatokat és továbbítja azokat a másodiknak. A második ekkor – fizetéskor – PIN-kód megadási utasítás nélkül leveszi az összeget a számláról. Amikor az app elismeri, hogy az aktuális vásárló a kártya engedélyezett használója, az eladónak fogalma sincs az igazságról. Az app kijátssza a kártya mögötti biztonsági rendszert. Az összeg ugyan túl van a limiten, és PIN-kód kellene hozzá, de mégsem kérik.

A hackelés tehát működik, viszont öröm az ürömben, hogy egyelőre bonyolult folyamat.

A kutatók értesítették a Visát, és egyben megoldást is javasoltak: a protokollt három helyen kell megváltoztatni, és a következő szoftverfrissítésnél, ezeket már be is lehet integrálni a fizetésterminálba.

A bejegyzés trackback címe:

https://jelenbolajovobe.blog.hu/api/trackback/id/tr1716194666

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.