Исследователи безопасности из Швейцарской высшей технической школы Цюриха нашли критическую уязвимость, которая позволяет проводить платежи с бесконтактных карт Mastercard и Maestro без необходимости вводить PIN-код, пишет Cyber Security News.
Для атаки под названием «человек посередине» (MitM) требуется только два Android-смартфона, специальное приложение и карточка жертвы.
Приложение устанавливается на оба смартфона — благодаря ему они играют роль эмуляторов. Первый должен находиться вблизи от украденной карты и имитирует PoS-терминал, обманом заставляя её инициировать транзакцию и отправить свои данные. Второй выступает эмулятором банковской карты, позволяя злоумышленнику передать модифицированные транзакционные данные на настоящий терминал.
Эксперты отмечают, что для атаки нужен доступ к карточке и возможность видоизменять команды терминала и ответы карты. Но уязвимость вполне могут начать применять на практике, если в технологиях бесконтактных платежей обнаружатся какие-либо другие изъяны. Раскрывать своё Android-приложение специалисты не намерены, чтобы не допустить эксплуатации находки.
Ранее та же команда исследователей выявила способ воровать деньги без PIN-кода с бесконтактных карточек Visa.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.