Авторизация

Ім'я користувача:

Пароль:

Новини

Топ-новини

Фінансові новини

Фінанси

Банки та банківські технології

Страхування

Новини економіки

Економіка

ПЕК (газ та електроенергія)

Нафта, бензин, автогаз

Агропромисловий комплекс

Право

Міжнародні новини

Україна

Політика

Бізнес

Бізнес

Новини IT

Транспорт

Аналітика

Фінанси

Економіка

ПЕК (газ та електроенергія)

Нафта, бензин, автогаз

Агропромисловий ринок

Політика

Міжнародна аналітика

Бізнес

Прес-релізи

Новини компаній

Корирування

Курс НБУ

Курс валют

Курс долара

Курс євро

Курс британського фунта

Курс швейцарського франка

Курс канадського долара

Міжбанк

Веб-майстру

Інформери

Інформер курсів НБУ

Інформер курс обміну валют

Інформер міжбанківські курси

Графіки

Графік курсів валют НБУ

Графік курс обміну валют

Графік міжбанківській курс

Експорт новин

Інформація про BIN.ua

Про сайт BIN.ua

Реклама на сайті

Контакти

Підписка на новини

Ученые смогли обойти PIN-коды для бесконтактных платежей Visa

17:21 28.08.2020 |

---

 

Команда исследователей из Швейцарской высшей технической школы Цюриха обнаружила уязвимость, с помощью которой возможно обойти PIN-коды для бесконтактной оплаты Visa и совершать дорогостоящие покупки, выходящие за предел бесконтактной транзакции без необходимости ввода PIN-кода.

По словам ученых, атака совершенно незаметна и может быть воспринята так, будто покупатель платит за товар с помощью мобильного/цифрового кошелька, установленного на смартфоне, хотя на самом деле оплата совершается с помощью украденной бесконтактной карты Visa, спрятанной на теле злоумышленника.

Проблема связана с недочетом в дизайне стандарта EMV и протоколе бесконтактных платежей Visa. Уязвимость заключается в отсутствии механизмов аутентификации или шифрования, что позволяет атакующему изменить данные в бесконтактной транзакции, включая информацию об управлении транзакцией и была ли карта верифицирована владельцем.

Для успешной атаки преступнику потребуется два Android-смартфона, специальное мобильное приложение и бесконтактная карта Visa. На одном смартфоне приложение работает в качестве эмулятора карты, а на втором - PoS-терминала. При этом эмулятор PoS-терминала должен находиться вблизи карты, а второй смартфон (эмулирующий карту) используется для оплаты покупок.

Суть атаки в том, что PoS-эмулятор запрашивает карту совершить платеж, модифицирует данные транзакции (указывая, что ввод PIN-кода не требуется), а затем передает информацию по Wi-Fi другому смартфону, с которого и совершается оплата без PIN-кода.

Как пояснили исследователи, разработанное ими приложение не требует прав суперпользователя или других «продвинутых хаков». Эксперты уже протестировали свой метод на смартфонах Huawei и Google Pixel в реальных магазинах. Они смогли успешно обойти PIN-коды при использовании карт Visa Credit, Visa Electron и VPay.

Помимо обхода PIN-кодов, эксперты обнаружили еще одну проблему, на этот раз связанную с offline-транзакциями при использовании карт Mastercard и Visa. Ее суть состоит в том, что в ходе бесконтактных транзакций в режиме offline не осуществляется аутентификация ApplicationCryptogram (криптографическое подтверждение транзакции, которое может подтвердить только эмитент карты, но не платежный терминал). Таким образом злоумышленник может заставить терминал принять неавторизованную offline-транзакцию.

Как пояснили эксперты, вторая атака не тестировалась в реальной жизни по этическим соображениям.

За матеріалами: Securitylab
Ключові теги: Visa
 

ТЕГИ

Курс НБУ на 20.12.2024
 
за
курс
uah
%
USD
1
41,9292
 0,0244
0,06
EUR
1
43,5770
 0,3811
0,87

Курс обміну валют на 20.12.24, 10:15
  куп. uah % прод. uah %
USD 41,5129  0,09 0,22 42,1729  0,06 0,13
EUR 43,3063  0,22 0,51 44,0913  0,19 0,43

Міжбанківський ринок на 20.12.24, 11:33
  куп. uah % прод. uah %
USD 41,8500  0,08 0,19 41,8700  0,08 0,19
EUR -  - - -  - -

ТОП-НОВИНИ

ПІДПИСКА НА НОВИНИ

 

Бізнес