Демонстрация хакерского взлома бесконтактной чиповой карты экспертом Адамом Лори (Adam Laurie) на конференции Black Hat 2008, дала почву для новых опасений в связи с безопасностью радиочастотной технологии идентификации (RFID), используемой для бесконтактных платежей. В начале этого месяца Лори использовал для взлома новый скрипт (EMV Chip And PIN credit card reading script), названный ChAP.py. С его помощью удалось считать имя владельца карты RFID-карты American Express, дату окончания ее действия, а также номер счета. Что удивительно, владелец карты при этом даже не вынимал ее из бумажника!

American Express использует технологию RFID для обеспечения бесконтактных платежей посредством карт ExpressPay. Компания настаивает, что у нее нет сомнения по поводу высокого уровня безопасности ExpressPay и говорит, что номер счета, извлеченный Лори, не может быть использован для онлайн-транзакций.

Карты ExpressPay имеют два номера счета — один для совершения бесконтактных платежей, другой существует как дебетовый или кредитный счет. American Express утверждает, что осуществляется передача только номера счета-псевдонима для бесконтактных платежей, что, тем не менее, защищает данные об основном счете.

В заявлении также говорится, что для осуществления онлайн-сделки American Express запрашивает не только номер счета-псевдонима. Есть несколько других механизмов для обеспечения защиты платежа. К примеру, как заверили в American Express, отныне имя владельца карты не будет храниться на чипе ExpressPay.

Адам Лори, член совета директоров фирмы по безопасности данных компании The Bunker, размести скрипт ChAP.py, написанный на языке Python, в своей онлайн-библиотеке RFIDIOt. Любой может загрузить программу бесплатно. Сайт также продает аппаратные средства, позволяющие считывать и делать запись на RFID-устройства.

Надо сказать, что это не первые проблемы, связанные с  безопасностью RFID. В 2006 группа, называющая себя Консорциум RFID по Безопасности и Секретности сообщила, что раскрыла ошибки в защите нескольких типов карт оплаты RFID.

Исследователи проверили приблизительно 20 бесконтактных кредитных карточек и выяснили, что карты RFID передают имена владельца кредитки. Таким образом любое устройство, способное считать информацию, может получить информацию о владельце без его согласия.

Более того, кредитные карты с технологией RFID уязвимы для копирования. Злоумышленник, имея считыватель RFID, может получить  информацию с карты, создать ее клон, выполнить с помощью полученной копии платежи. Как вариант – мошенник может использовать полученные данные для оплаты покупок в Интернете.

Между тем, Smart Card Association опровергла подобные заявления, настаивая на том, что в сообщении не даны подтверждения тому, что мошенник может в реальности  совершить воровство информации с карты.

(Всего прочитано 25 раз, из них 1 посещений сегодня)
0