Otkriven je propust u bezbjednosnom sistemu nekih kreditnih kartica

Beskontaktne kreditne kartice su brzi i pouzdani način plaćanja svakodnevnih troškova. Male sume se mogu naplatiti brzo i lako na blagajni, i kartice se smatraju bezbjednim jer je potreban sigurnosni kod za veće iznose.

Većina ovakvih transakcija se zasniva na standardu EMV, što se odnosi na preko devet milijardi kartica u svijetu. Iako je preispitivan više puta, složeni skup pravila ima nekoliko ranjivosti, koje mogu biti iskorišćene.

Dok drugi organi bezbjednosti već otkrivaju greške u standardu, naučnici sa Tehničkog Univerziteta u Cirihu su objavili jednu dodatnu, ozbiljnu, rupu. Pronašli su kritični propust u protokolu koji koristi kompanija kreditnih kartica Visa.

Ovaj propust omogućava prevarantima da podignu novac sa izgubljenih ili ukradenih kartica, iako bi to trebalo da bude potvrđeno unošenjem PIN koda.

Analitičari su imali mogućnost da pokažu da je moguće iskoristiti bezbjednosnu manu u praksi, iako je to zaista nepredvidljivi ciklus. Napravili su aplikaciju za Android, i instalirali je na dva telefona koja podržavaju NFC (komunikacija kratkog polja). To je omogućilo uređajima da pregledaju podatke sa čipa kreditne kartice i razmjenjuju podatke sa terminalima za plaćanje. Neočekivano, analitičari nijesu morali da zaobiđu bilo kakve posebne bezbjednosne funkcije u radnom okviru Androida da bi instalirali aplikaciju.

Jedan telefon se koristi za očitavanje važnih podataka sa kartice koja preuzima sredstva, i šalje ih drugom telefonu da bi se dobila neodobrena sredstva sa druge kartice. Drugi telefon se, zatim, koristi za zaduživanje sredstava, kao što to rade vlasnici kartica na blagajni. Ključni faktor je u tome što aplikacija nadmudruje bezbjednosni sistem kartice. Iako suma novca prelazi ograničenje za unošenje PIN-a, on se ne traži.

Naučnici su već upozorili na propust kompaniju Visa, istovremeno predlažući odgovarajuće rješenje, koje se može sprovesti bez mnogo muke. Nije potrebno mijenjati kartice, i sve izmjene su u skladu sa standardom EMV.

Detaljnije možete saznati ovdje.

Izvor: techexplorist.com