Jsou bezkontaktní karty bezpečné?

Z bezkontaktních karet unikají citlivé údaje a těchto údajů je pak možné zneužít např. k platbám přes internet.

Útočník vybaven smartphonem s nainstalovanou aplikací pro komunikaci s bezkontaktní platební kartou s NFC čipem je schopen z ní bez vědomí jejího držitele získat citlivé údaje, které jsou na ní uvedeny.

S vybavením za pár tisíc korun je pak údajně možné přečíst informace z bezkontaktní karty i na vzdálenost větší než jen proklamovaných pár centimetrů, a se silnější anténou je možné s kartou komunikovat dokonce i na vzdálenost několika metrů. V takovém případě by se útočník mohl pohybovat v davu a poměrně snadno sbírat informace z karet, které se nacházejí v jeho nejbližším okolí.

Takový útok je velice snadno realizovatelný, protože bezkontaktní karta, která je vybavena pasivním NFC čipem, přijme v podstatě požadavek od kohokoliv a ve své odpovědi odešle mimo jiné i jméno a příjmení držitele, číslo karty, datum platnosti a jednorázový/dynamický CVV kód. To není chyba, ale požadovaná vlastnost, protože vzhledem k tomu, že neexistuje žádný centrální registr terminálů, je nutné, aby karta komunikovala s každým terminálem.

Samozřejmě, že by se dalo navrhnout mnohem bezpečnější řešení a je s podivem, že byť jsou požadavky na autentizaci a šifrování vyžadovány standardem PCI DSS, který je sponzorován karetními asociacemi, tak jimi vydávané karty tento standard vůbec nedodržují.

Přestože je tento útok možný a je možné ho poměrně snadno realizovat, nejsou k dispozici žádné informace o tom, že by k němu již někde ve světě docházelo. Nejspíš proto, že pro provedení bezkontaktní platby je nutný dynamický CVV kód, který je platný jen pro jednu platbu.

Útočník by musel na nějakém frekventovaném místě, sbírat karetní data včetně jednorázových CVV kódů pokojně se pohybujících spoluobčanů a pak je někde jinde zase použít nebo je on-line přeposílat svému komplici. Což by měl, protože pokud oprávněný držitel kartu mezitím použije k bezkontaktní platbě, tak jsou útočníkovi takto získané jednorázové CVV kódy k ničemu, neboť už nebudou platné (musí být vždy použity ve správném pořadí, tak jak byly generovány).

Lze předpokládat, že útočník by se z výše uvedeného důvodu nejspíš pokusil sbírat citlivé karetní údaje včetně dynamických CVV kódů od většího množství držitelů karet a pak je někde poměrně rychle použít. To by možná nebyl až takový problém, ovšem nutná fyzická přítomnost při sbírání těchto údajů a především pak při placení zvyšuje riziko odhalení, které útočník, vzhledem k tomu co může získat, nejspíš nebude podstupovat.

Pokud už by se útočník přesto rozhodl sbírat tyto citlivé karetní údaje tímto způsobem, rozhodně by je nepoužil k provedení nějaké mizerné bezkontaktní platby za pár korun, ale co je mnohem pravděpodobnější, k opakovanému nákupu zboží nebo služeb přes internet za tisíce nebo desítky tisíc.

Jde o to, že v okamžiku, kdy útočník získá číslo karty, jméno a příjmení držitele a datum platnosti, tak se znalostí těchto údajů již může platit v e-shopech, které nevyžadují zadání 3místného čísla uvedeného v podpisovém proužku tzv. CVV nebo CVC kód. A tam kde je tento kód vyžadován, tak ho může útočník hrubou silou prolomit, neboť se jedná jen o 1000 možností.

Banky argumentují tím, že si u své karty můžete pro platby na internetu aktivovat tzv. 3D secure bezpečnou platbu kartou, což je mezinárodní standard, kdy pro úspěšné dokončení transakce musíte ještě zadat heslo nebo opsat kód, který vám přijde v SMS na váš mobilní telefon.

Problém je v tom, že útočník v takovém případě realizuje transakci u takového obchodníka, který 3D Secure nepodporuje, a že jich je. 3D secure tak vzbuzuje jen falešný pocit bezpečí, a požadovanou ochranu nepřináší, ale o tom až příště.

Poznámka: Píši údajně, protože zatím bylo na všech hackerských konferencích předvedeno jen čtení z několika málo centimetrů, nicméně to nic nemění na tom, že kdokoliv může tyto citlivé informace z bezkontaktní karty vybavené NFC čipem, získat a zneužít, ať už k bezkontaktní platbě, nakopírování těchto informací na magnetický proužek a zneužití tam, kde není požadováno zadání PIN a konečně i při platbách přes internet, kde postačí jen tyto informace.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Jsou bezkontaktní karty bezpečné?” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: