Вчені виявили дві вразливості в реалізації технології Chip-and-PIN

admin Новини ІТ-безпеки

Вчені виявили дві вразливості в реалізації технології Chip-and-PINДослідники з Кембриджського університету виявили дві критичні уразливості в реалізації технології Chip-and-PIN в банківській платіжній системі EMV. Проломи дозволяють клонувати карти таким чином, що банки будуть просто нездатні розпізнати підробку.

Платіжні карти містять чіп, який дозволяє реалізувати протокол аутентифікації, що вимагає від терміналу або банкомату генерації одноразового непередбачуваного номериeдля проведення кожної окремої транзакції.

Платіжний термінал виконує протокол EMV з чіпом, який обмінюється даними з певної транзакції, запечатаними зашифрованим кодом автентичності повідомлення (МАС ), - пишуть дослідники, що підкреслюють, що в ході цього процесу використовується симетричний ключ, збережений на карті.

За даними експертів, деякі банкомати неякісно генерують випадкові числа, які можна легко передбачити. Це, в свою чергу, призводить до того, що зловмисники можуть з легкістю вирахувати код аутентифікації, необхідний для зняття готівки у майбутньому.

Такі атаки нічим не відрізняються від копіювання карт з точки зору журналів, що знаходяться в розпорядженні банків-емітентів. Їх можна здійснювати, навіть якщо відсутня можливість фізично клонувати карту, впевнені експерти.

Ще одна уразливість полягає в некоректній реалізації протоколу, що дозволяє шкідливому ПЗ пробиратися на банкомат або термінал. У такому випадку зловмисник може просто замінити випадковий номер вигаданим ним числом.

Відзначимо, що про наявність двох проломів представників банківської системи повідомили ще в 2012 році, проте розробкою виправлення поки зайнялися тільки для перших.