Domov Novinky Až 9 miliard platobných kariet má bezpečnostnú dieru

Až 9 miliard platobných kariet má bezpečnostnú dieru

Zdielať

Zraniteľnosti súvisia s nedostatočnou autentifikáciou a kryptografickým zabezpečením. Až v 9 miliardách platobných kariet je bezpečnostná diera a problém má najmä Visa.

Správa trojice vedcov z technickej vysokej školy v Zürichu nepoteší majiteľov platobných kariet. Podľa ich zistení je možné zneužiť platobné karty aj bez zadávania PIN kódu. Zraniteľné sú predovšetkým karty Visa, pri kartách Mastercard neboli zistené žiadne veľké bezpečnostné riziká. Švajčiarski výskumníci objavili dve zraniteľnosti, ktoré sa týkajú komunikačného protokolu EMV, ktorý predstavuje štandard pri spracovávaní transakcií a využíva sa pri cca 80% kartových transakcií. Výskumný tím svoje zistenia otestoval a potvrdil pomocou Androidovej aplikácie, ktorú pre tento účel vyvinul, pričom vedci „zneužili“ svoje vlastné platobné karty.

Prvá diera spočíva v tom, že príjemca platby môže upraviť detaily prevodu a poslať upravené dáta odosielateľovi platby, vďaka čomu je aj platba vysokej čiastky zrealizovaná bez PIN kódu. Túto zraniteľnosť výskumníci testovali a zrealizovali pomocou dvoch smartfónov, pričom na jednom bežala aplikácia, ktorá simulovala platobný terminál a na druhom aplikácia, ktorá simulovala platobnú kartu. Druhá zraniteteľnosť spočíva v presvedčení obchodníka, že transakcia bola úspešne vykonaná, aj keď sa neskôr ukáže, že bola zamietnutá. V tom čase však už útočník vlastní tovar.

Tento typ útoku je využiteľný hlavne pri offline transakciách, pretože dôkaz, že platba bola zamietnutá, príde až neskôr, keď banka po zadaní platby spozoruje chybný kryptogram. Tento útok však z etických príčin nebol testovaný v reálnych podmienkach. Riešenie problému nemusí zahŕňať zmeny v samotnom EMV protokole. Dostatočným opatrením by mal byť update platobných terminálov. Ako však pripomína server HackRead, mnoho zo zhruba 160 miliónov terminálov sa nachádza v technologicky menej rozvinutých krajinách, a tak možno očakávať niekoľko takýchto útokov.

Zdroj: CS