Home » Securitate » Securitatea noilor carduri contactless
formats

Securitatea noilor carduri contactless

Contactless card  Tehnologia cardurilor contactless a apărut şi la noi, în diferite forme. Prima dată la BRD, prin Instant Pay, după care şi la BCR, Garanti şi altele. Principiul de funcţionare e la fel ca RFID şi v-aţi întâlnit cu această tehnologie fără să ştiţi. Atunci când mergeţi la marile magazine probabil aţi observat că produsele au ceva de plastic ataşat, plastic ce e scos la casă. Acea bucată e emiţătorul, iar la ieşirea din magazin sunt cititoarele care ţiuie atunci când încercaţi să ieşţi cu produsul.

Vorbind de oferte, cea de la BRD este copilăroasă întrucât ei practic emit doar un sticker ce poate fi lipit pe orice vrei tu şi astfel faci plăţi. Dacă suma de plată e până în 100 RON, atunci nu mai este necesar PIN-ul.

– se desprinde cardul miniatural;
– se introduce în suportul de plastic cu numărul de card şi data expirării la vedere;
– se dezlipeşte folia de protecţie de pe suport şi se aplică pe telefon, portofel, MP3 player etc.

La BCR în schimb se emite un card special, ce are incorportată tehnologia contactless şi în plus e stocată şi aplicaţia de plată a biletelor în mijloacele de transport din Bucureşti.

Cardul are CIP încorporat şi aplicaţia contactless. Cumpărăturile în sistem contactless se efectuează pentru valori de maxim 100 lei / tranzacţie.
Cardul are încorporată şi aplicaţia de transport RATB

 

Cea mai mare problemă e atunci când ţi-ai pierdut cardul şi nu ai observat imediat acest lucru (câţi o fac?). Oricine se poate folosi de el şi efectua plăţi fara a introduce PIN-ul tocmai pentru că nu e cerut la o tranzacţie mai mică de 100 RON. De-a lungul timpului au fost ceva bănci care au încercat să mă convingă cât e de sigur să îmi fac un astfel de card, dar în momentul în care întrebam dacă îmi anulează eventualele plăţi dinaintea anunţării pierderii mi se răspundea sec că nu se poate.

O altă problemă e tocmai tehnologia wireless folosită. Oricine cu un cititor poate citi informatiile de pe card printr-o simplă apropiere. Un cititor de tip contactless costă undeva pe la 60$ cu tot cu transport inclus. În mod normal cardul trebuie să se afle undeva la max 2-3 cm pentru a fi citit, însă se poate construi destul de uşor un dispozitiv cu o putere mai mare astfel încât să meargă şi de la 20 cm de exemplu, mai ales că e o tehnologie always-on.

La conferinţa Shmoocon a fost chiar o prezentare a lui Kris Paget în care vorbeşte despre securitatea cărţilor de credit contactless.

Sunt câteva aspecte importante de reţinut:

1. NFC, contactless, RFID – toate se bazează pe acelaşi lucru

2. Dacă pe telefon putem dezactiva emiterea semnalului, nu acelaşi lucru se întâmplă şi cu un card

3. Nu există un simbol unic pentru a reprezenta tehnologia contactless, astfel încât e posibil să aveţi un astfel de card fără să ştiţi

4. Luate pe rând, cardul, cititoarele, protocolul de comunicaţie între cele 2 sunt oarecum sigure – se poate face reverse engineering însă costurile sunt mult prea mari pentru a merita. Puse împreună la un loc, lucrurile nu mai stau aşa.

5. Atacul s-a făcut foarte simplu: folosind un cititor menţionat anterior, se citesc informaţiile de pe un card contactless. Cititorul îşi face treaba, criptând acest schimb de date dintre el şi card, însă rezultatul de după citire e plaintext. Tocmai la acest lucru se referă faptul că, odate puse împreună, apar probleme de securitate.

6. Un astfel de atac e mult mai simplu: informaţiile sunt citite prin simpla apropiere de o persoană ce deţine un astfel de card, tot ce trebuie să ai e suficientă putere pentru a le citit de la distanţă

7. Mai multe citiri rezultă în mai multe plăţi, cu condiţia ca acestea să se facă exact în ordinea citirii (FIFO). Dacă între timp a fost făcută o plată de către posesorul cardului, atunci toate datele citite anterior devin invalide.

8. Soluţiile de protecţie disponibile pe piaţă sunt o glumă şi nu împiedică cu adevărat citirea

9. La bază, terminalele POS trebuie să ştie de plăţile bazate pe banda magnetică, astfel încât indiferent că e folosit un card contactless sau unul cu cip EMV, totul se reduce în final la banda magnetică – aţi văzut vreun card care să nu aibă această bandă?

10. Sistemul suspendă plăţile contactless dacă sunt făcute mai multe plăţi consecutive către acelaşi comerciant. Am aşa o vagă impresie că la noi nu se întâmplă asta.

Sunt curios dacă aţi descoperit, urmărind prezentarea, că aveţi un card contactless şi nu ştiaţi.

 

4 Responses

  1. […] potrivit căruia o serie de telefoane sunt certificate pentru plăţile NFC, contactless, plăţi despre care am scris cât de sigure […]

  2. […] am primit un telefon ce ştie de NFC (Near Field Communication) şi pot face plăţi contactless (detalii despre acest tip de plată). Din păcate nu există decât o singură aplicaţie disponibilă pentru acest tip de plăţi, […]

  3. […] astfel de tehnologii sunt predispuse atacurilor informatice; găsiți mai multe informații despre vulnerabilitatea acestui tip de carduri contactless pe blogul de tehnologie ro.m-sec.net, blog pe care vi-l recomand în caz că sunteți interesați […]

  4. […] NFC. Cât despre comparația cu cardurile de credit ce au integrat chip NFC, am văzutaici sau aici cât de sigure […]

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile necesare sunt marcate *

Poți folosi aceste etichete și atribute HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

© m-sec.net
credit