Команда ученых из Швейцарии обнаружила ошибку безопасности, которой можно злоупотреблять для обхода PIN-кодов для бесконтактных платежей Visa.
По мнению исследовательской группы, для успешной атаки необходимы четыре компонента: два смартфона Android, специальное приложение для Android, разработанное исследовательской группой, и бесконтактная карта Visa.
На два смартфона установлено приложение Android, которое будет работать как эмулятор карты и эмулятор POS-терминала.
Телефон, который имитирует POS-устройство, кладут рядом с украденной картой, а смартфон, работающий как эмулятор карты, используется для оплаты товаров.
Вся идея атаки заключается в том, что эмулятор POS-терминала запрашивает у карты оплату, изменяет детали транзакции, а затем отправляет измененные данные через Wi-Fi на второй смартфон, который совершает крупный платеж без необходимости предоставления PIN-кода.
«Наше приложение не требует привилегий root или каких-либо хитроумных взломов Android, и мы успешно использовали его на устройствах Pixel и Huawei», - заявили исследователи.
Видео демонстрация атаки выложена на Youtube
Представитель Visa не ответил на электронное письмо с просьбой прокомментировать результаты исследования😅
=========================
Обнаружена также вторая атака, затрагивающая и Visa и MasterCard.
Чтобы обнаружить эту ошибку, исследовательская группа сообщила, что они использовали модифицированную версию инструмента под названием Tamarin
Атака позволяет злоумышленникам обманом заставить терминал принять неподлинную офлайн-транзакцию.
В отличие от первой ошибки, исследовательская группа заявила, что не тестировала эту вторую атаку в реальных условиях по этическим соображениям, поскольку это могло бы обмануть торговцев.🤷🏼♀️
Планируется, что исследователи представят свои выводы на симпозиуме IEEE по безопасности и конфиденциальности в следующем году, в мае 2021 года. До тех пор все банковские карты мира уязвимы к атакам.
