Уязвимость информации RFID-карточки - дистанционный съем информации.

На хакерской конференции Shmoocon, которая прошла в Вашингтоне в прошедший уикенд (27-29 янв.) небезызвестный специалист по безопасности Кристин Пейджет (Kristin Paget) из компании Recursion Ventures провела демонстрацию дистанционного считывания конфиденциальной информации с банковской карты, оснащённой радиочипом RFID. Вообще-то, об уязвимости бесконтактных карточек говорят уже лет 5, однако нынешняя демонстрация продемонстрировала, что крепкой защиты безопасности до сих пор не возникло. Для считывания информации с карт использовалось недорогое оснащение совокупной стоимостью в пару сотен $.

Для дистанционного считывания номера карты, срока действия и одноразового номера CVV использовался кард-ридер Vivotech, который возможно купить на Ebay за 50 долларов. Дальше, при помощи намагничивающего устройства стоимостью 300 долларов эти данные возможно записать на чистую карту.





В ходе демонстрации Пейджет пригласила на сцену добровольца, который не вынимал из кармана кошелёк с карточкой. Считывание данных и намагничивание новой карточки заняло пару мин., затем Пейджет достала Iphone с модулем Square, который позволяет принимать платежи, и перевела 15 долларов на собственный счёт, используя лишь что сделанный клон карточки. Чтоб ни у кого не оставалось сомнений в правдивости фокуса, Пейджет продемонстрировала номер клонированной карточки на большом экране со сцены.

Бесконтактные карточки возникли в обращении сравнительно не слишком давно, и платёжные системы широко рекламируют их как удобное средство платежа. По данным Smart Card Association, теперь в обращении располагается около 100 миллионов этих карт. Соответствующая технология у компании Visa называется Paywave, у MASTERCARD - PAYPASS, у Discover - Zip, а у American Express - EXPRESSPAY. Все они одинаково уязвимы для съёма данных.

В этой ситуации хакерский RFID кард-ридер ничем не отличается от легального терминала торговой точки. Самое сложное в подобной атаке - приблизить кард-ридер на в максимальной степени близкое расстояние к кошельку с карточкой. На практике это возможно сделать в переполненном транспорте или в очереди, спрятав устройство в кармане и "случайно" столкнувшись с хозяином карты. В принципе, физический контакт даже необязателен, довольно в максимальной степени близко приблизиться к жертве.

Данный тип атаки - не какая-то дырка в безопасности, а фундаментальный недостаток платёжной системы, которую специально сделали в максимальной степени простой в использовании. В нынешней версии технологии RFID-карты не передают беспроводным способом имя пользователя, PIN-код и трёхзначный постоянный CVV. Представители платёжных устройств говорят, что за 6 лет не задокументировано ни одного случая такого рода мошенничества, что - доказательство достаточной защиты для подобного рода атак, где злоумышленнику сложно сохранить собственную анонимность.

В деле, эксплуатацию одноразового CVV делает возможным проведение лишь одной транзакции с клонированной карточки, а при попытке II-й транзакции она будет заблокирована.

По заключению Пейджет, это значит лишь то, что злоумышленнику требуется посетить оживлённое место, где за 1 вечер возможно набрать большое число "одноразовых" карт. По заверениям профессионала, они в компании Recursion Ventures теперь работают над созданием специального бумажника Guardbunny с RFID-детектором, который будет сигнализировать о попытке сканирования - глаза у кролика на бумажнике начинают сиять и он выпускает громкие звуки. Более того, в бумажнике будет проактивная защита против сканирования вместо малоэффективных алюминиевой прокладки, которую теперь вшивают в кошельки и которая не спасает от мощного сканера.
по материалам - xakep.ru/