Security Week 35: платежи с украденной кредитки без PIN-кода

На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха представили на конференции Usenix новое исследование о безопасности платежных карт. Они показали ныне закрытую уязвимость, позволяющую совершать покупки на крупные суммы с карт Mastercard и Maestro.

Сценарий следующий: исследователь прикладывал к украденной карте смартфон, передавал считанные бесконтактным способом данные на другой смартфон, в процессе чего информация с карты слегка модифицировалась. Второе устройство нужно было поднести к платежному терминалу, операция на котором производится без PIN-кода. Экспертам удалось обойти лимит на сумму платежа без подтверждения PIN-кодом и совершить покупку на 400 франков (435 USD). Этот метод использует ранее обнаруженную (и также закрытую) уязвимость для карт Visa. Провести атаку на Mastercard и Maestro удалось благодаря наличию протокола коммуникации, общего для карт разных поставщиков.
О предыдущем исследовании группы мы писали в прошлом году. Уже тогда была разработана система передачи данных с карты на терминал при помощи двух смартфонов. Исследователи передавали информацию с карты без изменений, но меняли статус на «авторизованный» и «не требующий ввода PIN», благодаря чему и удавалось оплатить дорогую покупку без дополнительной авторизации.

А вот так выглядит еще одна атака. В целом все то же самое: нужно поднести к смартфону кредитную карту (на этот раз Maestro), затем информация передается на другой смартфон, а с него — на платежный терминал (использован терминал для малого бизнеса, поэтому в кадре три смартфона). Обе атаки похожи друг на друга. Исследователи выяснили, что Maestro и Mastercard имеют такую же уязвимость, хотя ранее эти карты проверялись и оригинальная атака не сработала. Но так как протокол коммуникации общий, добиться проведения платежа без PIN-кода удалось путем подмены идентификатора Application Identifier.

Иными словами, терминал работал с картой Maestro, думая, что считывает карту Visa, и в такой конфигурации старый метод снова оказался эффективным. К счастью, исследователи подтвердили, что после изменений «на стороне сервера» этот способ больше не действует. Атака также представляет интерес тем, что владелец терминала не может определить мошенническую операцию. С его точки зрения все выглядит, как обычная оплата покупки телефоном.

Что еще произошло:
Эксперты «Лаборатории Касперского» анализируют троян, попавший в сборку модифицированного мессенджера Whatsapp, известного как FMWhatsapp.

В Великобритании злоумышленники взломали крупного продавца оружия Guntrader: в открытый доступ попала база данных на 111 000 клиентов-физлиц, включая геолокацию.

Разработчики Samsung могут заблокировать работу любого умного телевизора при подключении к интернету. Об этом стало известно после беспорядков в Южной Америке, когда был разграблен склад техники этого производителя.

Серьезная уязвимость обнаружена в ПО Parallels Desktop: она теоретически могла привести к выполнению произвольного кода. Проблема возникла из-за некорректной работы системы обмена файлами между хостом (MacOS X) и виртуальной ОС (Windows): в версиях до 16-й по умолчанию открывался доступ ко всей папке пользователя, включая данные конфигурации ряда приложений. В Parallels Desktop 17 проблема решена путем предоставления доступа только к папкам типа Desktop, Documents и так далее.

Тринадцать ошибок закрыты в решении BIG-IP компании F5, включая одну, приводящую к полному контролю над системой.

Читайте так же:

  • Яндекс.Дзен представил новое оформление карточекЯндекс.Дзен представил новое оформление карточек Яндекс.Дзен изменил оформление карточек. Блогерам больше не придется  придумывать описания для статей — теперь на карточке в ленте будет показываться первый абзац публикации. Возможность увидеть начало текста поможет пользователям лучше понять. Что скрывается за карточкой. […]
  • Сайт контент сервисСайт контент сервис Автор контента веб-сайта или автор веб-контента-это человек. Который специализируется на предоставлении релевантного контента для веб-сайтов. Каждый сайт имеет определенную целевую аудиторию и требует наиболее релевантного контента для привлечения бизнеса. Контент должен содержать […]
  • Цены в элитных новостройках Москвы выросли на ₽100 тыс. рублей за 1 кв. мЦены в элитных новостройках Москвы выросли на ₽100 тыс. рублей за 1 кв. м По итогам первых трех месяцев 2021 года стоимость «квадрата» составила 871 тыс. рублей против 771 тыс. рублей в 2019 году Фото: Andrii Yalanskyishutterstock В первом квартале 2021 года стоимость квадратного метра в элитных новостройках Москвы (от $1 млн) в […]
  • Poco Launcher возвращается? В смартфонах Poco появится интерфейс Poco UIPoco Launcher возвращается? В смартфонах Poco появится интерфейс Poco UI Представители Poco в одном из недавних интервью сообщили о том. Что в прошивке смартфонов бренда появятся эксклюзивные новшества. Которые будут присущи только им. Так как пока нет никаких подробностей, и не ясно. О каких именно уникальных функциях и изменениях интерфейса идет речь. […]