Nebezpečné bezkontaktní karty Visa

11. 11. 2014

Sdílet

 Autor: Fotolia
Experti z Newcastle University ve Velké Británii objevili způsob, jak kvůli bezpečnostní chybě u bezkontaktních platebních karet Visa, ukrást cizím lidem během několika sekund až miliony korun.

Bezkontaktní platební karty používají k bezpečným transakcím, při nichž není třeba vkládat kartu do speciální čtečky, kryptoprocesor a technologii RFID. Jako platební kartu lze v dnešní době použít také mobilní zařízení podporující technologii NFC.

V závislosti na zemi však existují různá omezení. Například ve Velké Británii lze pomocí bezkontaktních platebních karet bez nutnosti zadávat PIN kód provést transakce do dvaceti liber (700 Kč), přičemž v České republice bývá limit typicky nastaven na 500 Kč.

Podle nově zveřejněných informací však hackeři mohou díky zneužití chyby v platebním protokolu z cizí bezkontaktní karty na vlastní platební účet převést až 999,999,99 dolarů, tedy v přepočtu přes dvacet milionů korun.

Experti zveřejnili podrobnosti o možném útoku ve středu na konferenci ACM Conference on Computer and Communications Security. Celý útok je založen na podvodném terminálu běžícím na mobilním zařízení, který může být přednastaven na přijetí vysokého finančního obnosu - maximálně již zmíněných 999,999,99 dolarů v jakékoli měně.

„S pouhým jedním mobilním telefonem jsme vytvořili simulaci terminálu, který uměl číst karty umístěné v peněžence jejich vlastníka,“ uvedl hlavní expert z Newcastle University, který na projektu pracoval, Martin Emms. „Všechny bezpečnostní kontroly jsou prováděny na samotné kartě, nikoli na terminálu, takže v průběhu transakce neexistuje nic, co by mohlo vzbudit nějaké podezření.“

„Stačí přednastavit obnos, který chcete převést a následně přejet svým telefonem okolo peněženky cizího člověka a transakce se provede. V našich testech trvalo schválení celé transakce méně než jednu sekundu,“ dodal Emms s poukazem na to, že netestovali, jak budou bezpečnostní systémy Visy reagovat na náhlé platby přicházející v cizí měně a zda budou označeny za podvodné.

I když by systémy Visy podvodné transakce vyšších obnosů pravděpodobně zachytily, podle expertů by zločinci bezpečností opatření nejspíše obešli provedením stovek tisíc podvodných transakcí v menších částkách.

„V našem výzkumu jsme objevili opravdovou díru v platebním protokolu, kterou útočníci jistě uvítají,“ řekl Emms.

bitcoin_skoleni

Visa Europe v prohlášení pro BBC uvedla, že „zjištění (expertů z univerzity v Newcastlu) byla prověřena“ a výzkum „nebere v potaz několik vstev zabezpečení, které jsou v našem systému integrovány“. Mluvčí společnosti pak dodal, že „tento typ transakce by mimo zkušební prostředí v laboratořích univerzity bylo velmi těžké provést“.

Visa Europe navíc údajně v současné době pracuje na úpravě svého bezpečnostního systému tak, aby více transakcí platebních karet bylo autorizováno online, díky čemuž by popsaný útok v budoucnu bylo ještě těžší provést.