Interesante ataque al estándar de pago con tarjeta inteligente EMV


Interesante ataque al estándar de pago con tarjeta inteligente EMV

Sus Complicado, pero es básicamente un ataque de intermediario que involucra dos teléfonos inteligentes. El primer teléfono lee la tarjeta inteligente authentic y luego envía la información requerida a un segundo teléfono. Ese segundo teléfono realmente realiza la transacción en el terminal POS. Ese segundo teléfono puede convencer al terminal POS de que realice la transacción sin requerir el PIN normalmente requerido.

A partir de una articulo de noticias:

Los investigadores pudieron demostrar que es posible explotar la vulnerabilidad en la práctica, aunque es un proceso bastante complejo. Primero desarrollaron una aplicación para Android y la instalaron en dos teléfonos móviles habilitados para NFC. Esto permitió a los dos dispositivos leer datos del chip de la tarjeta de crédito e intercambiar información con terminales de pago. Por cierto, los investigadores no tuvieron que pasar por alto ninguna función de seguridad especial en el sistema operativo Android para instalar la aplicación.

Para obtener fondos no autorizados de una tarjeta de crédito de terceros, el primer teléfono móvil se utiliza para escanear los datos necesarios de la tarjeta de crédito y transferirlos al segundo teléfono. El segundo teléfono se united states para cargar simultáneamente el monto en la caja, como hacen muchos titulares de tarjetas en la actualidad. Como la aplicación declara que el cliente es el usuario autorizado de la tarjeta de crédito, el proveedor no se da cuenta de que la transacción es fraudulenta. El element critical es que la aplicación supera al sistema de seguridad de la tarjeta. Aunque la cantidad supera el límite y requiere la verificación del PIN, no se solicita ningún código.

El papel: «El estándar EMV: romper, arreglar, verificar. «

Resumen: EMV es el protocolo estándar internacional para el pago con tarjeta inteligente y se utiliza en más de 9 mil millones de tarjetas en todo el mundo. A pesar de la seguridad anunciada del estándar, anteriormente se han descubierto varios problemas, derivados de fallas lógicas que son difíciles de detectar en la extensa y compleja especificación de EMV, que se ejecuta en más de 2.000 páginas.

Formalizamos un modelo simbólico integral de EMV en Tamarin, un verificador de protocolos de última generación. Nuestro modelo es el primero que admite un análisis detallado de todas las garantías de seguridad relevantes que EMV pretende ofrecer. Usamos nuestro modelo para identificar automáticamente fallas que conducen a dos ataques críticos: uno que defrauda al titular de la tarjeta y otro que defrauda al comerciante. En primer lugar, los delincuentes pueden utilizar la tarjeta Visa sin contacto de una víctima para realizar compras de alto valor sin conocer el PIN de la tarjeta. Creamos una aplicación de Android de prueba de concepto y demostramos con éxito este ataque en terminales de pago del mundo authentic. En segundo lugar, los delincuentes pueden engañar al terminal para que acepte una transacción fuera de línea no auténtica, que el banco emisor debería rechazar más tarde, después de que el delincuente se haya llevado los bienes. Este ataque es posible para implementaciones siguiendo el estándar, aunque no lo probamos en terminales reales por razones éticas. Finalmente, proponemos y verificamos mejoras al estándar que previenen estos ataques, así como cualquier otro ataque que viole las propiedades de seguridad consideradas. Las mejoras propuestas se pueden implementar fácilmente en los terminales y no afectan las tarjetas en circulación.

Publicado el 14 de septiembre de 2020 a las 6:21 AM •
2 comentarios



Enlace a la noticia original