Security Week 35: платежи с украденной кредитки без PIN-кода

На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха представили на конференции Usenix новое исследование о безопасности платежных карт. Они показали ныне закрытую уязвимость, позволяющую совершать покупки на крупные суммы с карт Mastercard и Maestro.

kxgp6oppmi2trjk_jtxu6yclrmg.jpeg

Сценарий следующий: исследователь прикладывал к украденной карте смартфон, передавал считанные бесконтактным способом данные на другой смартфон, в процессе чего информация с карты слегка модифицировалась. Второе устройство нужно было поднести к платежному терминалу, операция на котором производится без PIN-кода. Экспертам удалось обойти лимит на сумму платежа без подтверждения PIN-кодом и совершить покупку на 400 франков (435 USD). Этот метод использует ранее обнаруженную (и также закрытую) уязвимость для карт Visa. Провести атаку на Mastercard и Maestro удалось благодаря наличию протокола коммуникации, общего для карт разных поставщиков.
О предыдущем исследовании группы мы писали в прошлом году. Уже тогда была разработана система передачи данных с карты на терминал при помощи двух смартфонов. Исследователи передавали информацию с карты без изменений, но меняли статус на «авторизованный» и «не требующий ввода PIN», благодаря чему и удавалось оплатить дорогую покупку без дополнительной авторизации.

А вот так выглядит еще одна атака. В целом все то же самое: нужно поднести к смартфону кредитную карту (на этот раз Maestro), затем информация передается на другой смартфон, а с него — на платежный терминал (использован терминал для малого бизнеса, поэтому в кадре три смартфона). Обе атаки похожи друг на друга. Исследователи выяснили, что Maestro и Mastercard имеют такую же уязвимость, хотя ранее эти карты проверялись и оригинальная атака не сработала. Но так как протокол коммуникации общий, добиться проведения платежа без PIN-кода удалось путем подмены идентификатора Application Identifier.

Иными словами, терминал работал с картой Maestro, думая, что считывает карту Visa, и в такой конфигурации старый метод снова оказался эффективным. К счастью, исследователи подтвердили, что после изменений «на стороне сервера» этот способ больше не действует. Атака также представляет интерес тем, что владелец терминала не может определить мошенническую операцию. С его точки зрения все выглядит, как обычная оплата покупки телефоном.

Что еще произошло:
Эксперты «Лаборатории Касперского» анализируют троян, попавший в сборку модифицированного мессенджера Whatsapp, известного как FMWhatsapp.

В Великобритании злоумышленники взломали крупного продавца оружия Guntrader: в открытый доступ попала база данных на 111 000 клиентов-физлиц, включая геолокацию.

Разработчики Samsung могут заблокировать работу любого умного телевизора при подключении к интернету. Об этом стало известно после беспорядков в Южной Америке, когда был разграблен склад техники этого производителя.

Серьезная уязвимость обнаружена в ПО Parallels Desktop: она теоретически могла привести к выполнению произвольного кода. Проблема возникла из-за некорректной работы системы обмена файлами между хостом (MacOS X) и виртуальной ОС (Windows): в версиях до 16-й по умолчанию открывался доступ ко всей папке пользователя, включая данные конфигурации ряда приложений. В Parallels Desktop 17 проблема решена путем предоставления доступа только к папкам типа Desktop, Documents и так далее.

Тринадцать ошибок закрыты в решении BIG-IP компании F5, включая одну, приводящую к полному контролю над системой.

© Habrahabr.ru