Académicos Saltean Los PIN De Los Pagos Contactless De Visa
El ataque es extremadamente sigiloso, dijeron los académicos, y puede confundirse fácilmente con un cliente que paga por productos usando una billetera móvil/digital instalada en su teléfono inteligente.
Sin embargo, en realidad, el atacante está pagando con los datos recibidos de una tarjeta Visa sin contacto (robada) que está oculta en el cuerpo del atacante.
Cómo funciona el ataque
Según el equipo de investigación, un ataque exitoso requiere cuatro componentes: (1 + 2) dos teléfonos Android, (3) una aplicación especial de Android desarrollada por el equipo de investigación y (4) una tarjeta Visa sin contacto.La aplicación de Android está instalada en los dos teléfonos inteligentes, que funcionará como un emulador de tarjeta y un emulador de POS (Punto de venta).
Toda la idea detrás del ataque es que el emulador POS le pide a la tarjeta que realice un pago, modifica los detalles de la transacción y luego envía los datos modificados a través de WiFi al segundo teléfono inteligente que realiza un pago grande sin necesidad de proporcionar un PIN (como el atacante ha modificado los datos de la transacción para indicar que no se necesita el PIN).
"Nuestra aplicación no requiere privilegios de root ni ningún truco sofisticado para Android y la hemos utilizado con éxito en dispositivos Pixel y Huawei", dijeron los investigadores.
Ataque causado por un problema con el protocolo sin contacto de Visa
A nivel técnico, los investigadores dijeron que el ataque es posible debido a lo que describen como fallas de diseño en el estándar EMV y en el protocolo sin contacto de Visa.Estos problemas permiten que un atacante altere los datos involucrados en una transacción sin contacto, incluidos los campos que controlan los detalles de la transacción y si el propietario de la tarjeta ha sido verificado.
"El método de verificación del titular de la tarjeta utilizado en una transacción, si lo hay, no está autenticado ni protegido criptográficamente contra modificaciones", dijeron los investigadores. "El ataque consiste en una modificación de un objeto de datos de la tarjeta, los Card Transaction Qualifiers, antes de entregarlo en la terminal", agregaron. "La modificación indica al terminal que: (1) no se requiere la verificación del PIN y (2) el titular de la tarjeta fue verificado en el dispositivo del consumidor (por ejemplo, un teléfono inteligente)".
Estas modificaciones se llevan a cabo en el teléfono inteligente que ejecuta el emulador de POS, antes de enviarse al segundo teléfono inteligente y luego se transmiten al dispositivo POS real, que no podría decir si se modificaron los datos de la transacción.
Este problema de seguridad fue descubierto a principios de este año por académicos del Instituto Federal Suizo de Tecnología (ETH) en Zurich. Los investigadores de ETH Zurich dijeron que probaron su ataque en el mundo real, en tiendas reales, sin enfrentar ningún problema. El ataque tuvo éxito en eludir los PIN en las tarjetas Visa Credit, Visa Electron y VPay, dijeron. El equipo de ETH Zurich dijo que notificaron a Visa de sus hallazgos.
Segundo ataque descubierto, que también afecta a Mastercard
Para descubrir este error, el equipo de investigación dijo que utilizaron una versión modificada de una herramienta llamada Tamarin, que se utilizó anteriormente para descubrir vulnerabilidades complejas en el protocolo criptográfico TLS 1.3 [PDF] y en el mecanismo de autenticación 5G [PDF].
Además de la omisión del PIN en las tarjetas sin contacto Visa, la misma herramienta también descubrió un segundo problema de seguridad, esta vez que afectó tanto a Mastercard como a Visa. Los investigadores explican:
"Nuestro análisis también revela que, en una transacción sin contacto fuera de línea con una Visa o una tarjeta Mastercard antigua, la tarjeta no autentica en el terminal el ApplicationCryptogram (AC), que es una prueba criptográfica producida por la tarjeta de la transacción que el terminal no puede verificar (solo el emisor de la tarjeta puede). Esto permite a los delincuentes engañar al terminal para que acepte una transacción fuera de línea no auténtica. Más adelante, cuando el adquirente envía los datos de la transacción como parte del registro de compensación, el banco emisor detectará el criptograma incorrecto, pero el criminal ya se ha ido con los bienes .
A diferencia del primer error, el equipo de investigación dijo que no probó este segundo ataque en configuraciones del mundo real por razones éticas, ya que esto habría defraudado a los comerciantes.
Se pueden encontrar detalles adicionales sobre la investigación del equipo en una preimpresión en papel titulada "The EMV Standard: Break, Fix, Verify". Los investigadores están programando presentar sus hallazgos en el Simposio de Seguridad y Privacidad de IEEE, el próximo año, en mayo de 2021.
Fuente: ZDNetVia: feedproxy.google.com