Μια ομάδα ακαδημαϊκών από την Ελβετία ανακάλυψε ένα σφάλμαπου μπορεί να χρησιμοποιηθεί για να παρακάμψει τους κωδικούς PIN στις ανέπαφες πληρωμές της Visa.
Αυτό σημαίνει ότι αν οι απατεώνες έχουν στα χέρια τους μια κλεμμένη κάρτα Visa, μπορούν να τη χρησιμοποιήσουν για να πληρώσουν ακριβά προϊόντα, και πάνω από το όριο των συναλλαγών χωρίς να χρειάζεται να εισάγουν τον κωδικό PIN της κάρτας.
Σύμφωνα με την ερευνητική ομάδα, μια επιτυχημένη επίθεση χρειάζεται τέσσερα στοιχεία: (1 + 2) δύο smartphone Android, (3) μια ειδική εφαρμογή Android που αναπτύχθηκε από την ερευνητική ομάδα και (4) μια κάρτα ανέπαφων συναλλαγών Visa.
Η εφαρμογή Android είναι εγκατεστημένη και στα δύο smartphone, τα οποία θα λειτουργούν ως εξομοιωτής καρτών και POS (Point-Of-Sale).
Το τηλέφωνο που μιμείται μια συσκευή POS βρίσκεται κοντά στην κλεμμένη κάρτα, ενώ το smartphone που λειτουργεί σαν εξομοιωτής της κάρτας χρησιμοποιείται για την πληρωμή αγαθών.
Η όλη ιδέα πίσω από την επίθεση είναι ότι ο εξομοιωτής POS ζητά από την κάρτα να πραγματοποιήσει μια πληρωμή και στη συνέχεια στέλνει τροποποιημένα τα δεδομένα μέσω WiFi στο δεύτερο smartphone που κάνει την πληρωμή χωρίς να χρειάζεται να δώσει PIN (αφού ο εισβολέας έχει τροποποιήσει τα δεδομένα της συναλλαγής για να πει ότι δεν απαιτείται PIN).
“Η εφαρμογή μας δεν απαιτεί δικαιώματα root ή άλλα hacks στο Android και την έχουμε χρησιμοποιήσει με επιτυχία σε συσκευές Pixel και Huawei”, ανέφεραν οι ερευνητές.
https://www.youtube.com/watch?v=JyUsMLxCCt8
Σε τεχνικό επίπεδο, οι ερευνητές ανέφεραν ότι η επίθεση είναι δυνατή λόγω ενός σχεδιαστικού ελαττώματος στο πρότυπο EMV και στο πρωτόκολλο για ανέπαφες πληρωμές της Visa.
Αυτά τα ζητήματα επιτρέπουν σε έναν εισβολέα να αλλάξει τα δεδομένα που εμπλέκονται σε μια ανέπαφη πληρωμή, μαζί με τα πεδία που ελέγχουν τα στοιχεία της συναλλαγής και εάν έχει επαληθευτεί ο κάτοχος της κάρτας η όχι.
“Η μέθοδος επαλήθευσης του κατόχου της κάρτας που χρησιμοποιείται σε μια συναλλαγή, δεν είναι ούτε επικυρωμένη ούτε κρυπτογραφημένη και δεν προστατεύεται από τροποποιήσεις”, ανέφεραν οι ερευνητές.
Περισσότερα: https://arxiv.org/pdf/2006.08249.pdf