Správa trojice vedcov z technickej vysokej školy v Zürichu nepoteší majiteľov platobných kariet. Podľa ich zistení je možné zneužiť platobné karty aj bez zadávania PIN kódu. Zraniteľné sú predovšetkým karty Visa, pri kartách Mastercard neboli zistené žiadne veľké bezpečnostné riziká.
Švajčiarski výskumníci objavili dve zraniteľnosti, ktoré sa týkajú komunikačného protokolu EMV, ktorý predstavuje štandard pri spracovávaní transakcií a využíva sa pri cca 80 percentách kartových transakcií.
Výskumný tím svoje zistenia otestoval a potvrdil pomocou Androidovej aplikácie, ktorú pre tento účel vyvinul, pričom vedci „zneužili“ svoje vlastné platobné karty.
(Zdroj: David Basin, Ralf Sasse, Jorge Toro-Pozo)
Autentifikácia a kryptografia
Prvá diera spočíva v tom, že príjemca platby môže upraviť detaily prevodu a poslať upravené dáta odosielateľovi platby, vďaka čomu je aj platba vysokej čiastky zrealizovaná bez PIN kódu.
Túto zraniteľnosť výskumníci testovali a zrealizovali pomocou dvoch smartfónov, pričom na jednom bežala aplikácia, ktorá simulovala platobný terminál a na druhom aplikácia, ktorá simulovala platobnú kartu.
Druhá zraniteteľnosť spočíva v presvedčení obchodníka, že transakcia bola úspešne vykonaná, aj keď sa neskôr ukáže, že bola zamietnutá. V tom čase však už útočník vlastní tovar.
Tento typ útoku je využiteľný hlavne pri offline transakciách, pretože dôkaz, že platba bola zamietnutá, príde až neskôr, keď banka po zadaní platby spozoruje chybný kryptogram. Tento útok však z etických príčin nebol testovaný v reálnych podmienkach.
Riešenie problému nemusí zahŕňať zmeny v samotnom EMV protokole. Dostatočným opatrením by mal byť update platobných terminálov. Ako však pripomína server HackRead, mnoho zo zhruba 160 miliónov terminálov sa nachádza v technologicky menej rozvinutých krajinách, a tak možno očakávať niekoľko takýchto útokov.
Krištof Remper