Nytro Posted November 4, 2014 Report Posted November 4, 2014 Cardurile bancare contactless de la VISA, susceptibile la atacuri din cauza unei bre?e de implementare Dorian Prodan - 4 nov 2014 Toate obiectele din jurul nostru vor s? devin? ceva mai „inteligente” ?i s? se ne simplifice via?a, îns? progresul tehnologic ne ofer? uneori ?i surprize nepl?cute. Cel mai recent exemplu afecteaz? cardurile bancare VISA, un grup de cercet?tori din cadrul universit??ii Newcastle din Marea Britanie descoperind o problem? software a sistemului VISA care faciliteaz? furtul banilor de pe cardurile care includ ?i un cip RFID pentru plata contacteless. Implementat ?i la noi în ?ar?, sistemul de plat? payWave de la VISA folose?te un cip RFID cu ajutorul c?ruia posesorul cardului poate valida o tranzac?ie f?r? a mai folosi codul de protec?ie PIN ?i f?r? a mai introduce cardul într-un POS. Deoarece sistemul este gândit pentru pl??ile m?runte f?cute în mod curent ?i nu folose?te autentific?ri manuale suplimentare, VISA ?i b?ncile emitente au stabilit ?i o limit? pentru sumele care pot fi transferate în cadrul unei opera?iuni, îns? acest sistem se pare c? nu func?ioneaz? tot atât de bine pe cât ?i-ar fi dorit institu?iile bancare. Conform lucr?rii publicate de cercet?torii britanici, sistemul VISA poate fi p?c?lit s? valideze tranzac?ii cu o valoare care dep??e?te limita impus? pentru plata contactless atunci când moneda folosit? este alta decât cea curent? folosit? de banca emitent?. Dac? bariera în moneda implicit? func?ioneaz?, utilizarea unei monede str?ine ?i conversia valutar? f?cut? de banc? scurtcircuiteaz? sistemul de protec?ie VISA ?i permite validarea contactless a unor tranzac?ii cu o valoare de cel mult 999.999 de dolari. Cercet?torii afirm? c? aceast? bre?? poate fi speculat? de cei care vor folosi o metod? ingenioas? prin care datele de pe un card bancar contactless pot fi accesate f?r? ?tirea utilizatorului. Acum doi ani, cercet?torii viaForensic au ar?tat c? pe un telefon Android echipat cu cip NFC pot fi instalate aplica?ii speciale care imit? un POS ?i determin? cardul bancar s? încerce s? se autentifice ?i s? semneze o tranzac?ie. Cercet?torii din cadrul universit??ii Newcastle afirm? c?, folosind aceast? metod?, persoanele r?u inten?ionate pot preg?ti un astfel de telefon, pot ini?ia o tranzac?ie ?i pot încerca s? treac? pe lâng? persoanele str?ine în locuri aglomerate în speran?a c? unul dintre cardurile din buzunarele acestora vor trece suficient de aproape de ei pentru a putea valida tranzac?ia. VISA Europe afirm? c? metoda descoperit? de cercet?torii britanici nu reprezint? o problem? real?. Compania afirm? c? efectuarea unor astfel de pl??i frauduloase este extrem de dificil? dincolo de u?ile laboratorului, în lumea real?. Compania nu a oferit înc? o declara?ie referitoare la problema care permite ocolirea limitelor de sum? stabilite pentru tranzac?iile contactless. Sursa: Cardurile bancare contactless de la VISA, susceptibile la atacuri din cauza unei bre?e de implementare Quote
