Команда исследователей из Швейцарской высшей технической школы Цюриха обнаружила уязвимость, с помощью которой возможно обойти PIN-коды для бесконтактной оплаты Visa и совершать дорогостоящие покупки, выходящие за предел бесконтактной транзакции без необходимости ввода PIN-кода.

По словам ученых, атака совершенно незаметна и может быть воспринята так, будто покупатель платит за товар с помощью мобильного/цифрового кошелька, установленного на смартфоне, хотя на самом деле оплата совершается с помощью украденной бесконтактной карты Visa, спрятанной на теле злоумышленника.

Проблема связана с недочетом в дизайне стандарта EMV и протоколе бесконтактных платежей Visa. Уязвимость заключается в отсутствии механизмов аутентификации или шифрования, что позволяет атакующему изменить данные в бесконтактной транзакции, включая информацию об управлении транзакцией и была ли карта верифицирована владельцем.

Для успешной атаки преступнику потребуется два Android-смартфона, специальное мобильное приложение и бесконтактная карта Visa. На одном смартфоне приложение работает в качестве эмулятора карты, а на втором - PoS-терминала. При этом эмулятор PoS-терминала должен находиться вблизи карты, а второй смартфон (эмулирующий карту) используется для оплаты покупок.

Суть атаки в том, что PoS-эмулятор запрашивает карту совершить платеж, модифицирует данные транзакции (указывая, что ввод PIN-кода не требуется), а затем передает информацию по Wi-Fi другому смартфону, с которого и совершается оплата без PIN-кода.

Как пояснили исследователи, разработанное ими приложение не требует прав суперпользователя или других «продвинутых хаков». Эксперты уже протестировали свой метод на смартфонах Huawei и Google Pixel в реальных магазинах. Они смогли успешно обойти PIN-коды при использовании карт Visa Credit, Visa Electron и VPay.

Помимо обхода PIN-кодов, эксперты обнаружили еще одну проблему, на этот раз связанную с offline-транзакциями при использовании карт Mastercard и Visa. Ее суть состоит в том, что в ходе бесконтактных транзакций в режиме offline не осуществляется аутентификация ApplicationCryptogram (криптографическое подтверждение транзакции, которое может подтвердить только эмитент карты, но не платежный терминал). Таким образом злоумышленник может заставить терминал принять неавторизованную offline-транзакцию.

Как пояснили эксперты, вторая атака не тестировалась в реальной жизни по этическим соображениям.