Исследователи научились взламывать пин коды банковских карт.

​​Ученые научились взламывать PIN-коды на банковских картах.

Команда ученых из Швейцарии обнаружила ошибку безопасности, которой можно злоупотреблять для обхода PIN-кодов для бесконтактных платежей Visa.

По мнению исследовательской группы, для успешной атаки необходимы четыре компонента: два смартфона Android, специальное приложение для Android, разработанное исследовательской группой, и бесконтактная карта Visa.

На два смартфона установлено приложение Android, которое будет работать как эмулятор карты и эмулятор POS-терминала.

Телефон, который имитирует POS-устройство, кладут рядом с украденной картой, а смартфон, работающий как эмулятор карты, используется для оплаты товаров.

Вся идея атаки заключается в том, что эмулятор POS-терминала запрашивает у карты оплату, изменяет детали транзакции, а затем отправляет измененные данные через Wi-Fi на второй смартфон, который совершает крупный платеж без необходимости предоставления PIN-кода.

«Наше приложение не требует привилегий root или каких-либо хитроумных взломов Android, и мы успешно использовали его на устройствах Pixel и Huawei», - заявили исследователи.

Видео демонстрация атаки выложена на Youtube

Представитель Visa не ответил на электронное письмо с просьбой прокомментировать результаты исследования😅

=========================

Обнаружена также вторая атака, затрагивающая и Visa и MasterCard.

Чтобы обнаружить эту ошибку, исследовательская группа сообщила, что они использовали модифицированную версию инструмента под названием Tamarin

Атака позволяет злоумышленникам обманом заставить терминал принять неподлинную офлайн-транзакцию.

В отличие от первой ошибки, исследовательская группа заявила, что не тестировала эту вторую атаку в реальных условиях по этическим соображениям, поскольку это могло бы обмануть торговцев.🤷🏼‍♀️

Планируется, что исследователи представят свои выводы на симпозиуме IEEE по безопасности и конфиденциальности в следующем году, в мае 2021 года. До тех пор все банковские карты мира уязвимы к атакам.