PayPass: узнать траты по бесконтактной карте легко
При помощи приложения «EMV NFC pay card reader», доступного бесплатно в магазине Google Play, можно по прикосновению читать данные о транзакциях карт PayPass и payWave российских банков.
Приложение NFC-читалки для Android смогло прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации и отобразило их список на смартфоне. В информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о назначении.
По словам Волнухина, он проверил уязвимость на имеющихся у него картах PayPass и выяснил, что она затронула только те, что были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула, поэтому он предположил, что проблема кроется в настройках безопасности отечественных банков.
С подобной проблемой столкнулись и другие участники русскоязычного сообщества сервиса микроблогов Friendfeed. Они сообщили, что таким образом можно прочитать данные не только по бесконтактным, но и по обычным транзакциям, совершенным без NFC. Проверки проводились на картах «Райффайзенбанка», «Альфа-Банка», «Тинькофф Кредитные Системы» и «Ситибанка», то же самое произошло и с картой от «Яндекс.Денег».
Некоторые пользователи сообщили, что приложение показало им не все транзакции, а только часть. У одного из них они показывались вразнобой, а у другого отобразились только те, у которых сумма платежа была меньше 2 тысяч рублей. Для зарубежных карт информация в приложении не отображалась.
В комментариях предположили, что NFC-читалка может «сливать» полученные от считывания карт данные, но по словам автора обсуждения после изучения исходных кодов приложения эта информация не подтвердилась.
Хотя таким образом и нельзя узнать, на что тратил деньги владелец карты, уязвимость может быть серьёзным нарушением частной жизни. Автор обсуждения на Friendfeed привёл анекдотичный пример: официантка или кассир, пробивающая чек, видит, сколько вы тратите и может потребовать солидных чаевых.
Вся суть шумихи заключается в том, что по стандарту EMV данные о последних транзакциях и о балансе кошелька хранятся в незашифрованном виде хотя бы для того чтобы можно было проверить работоспособность карты и наличие на ней средств в случае сбоев оплаты.
Существуют специальные брелки, которые читаю баланс карт (смарт-кард, с чипом которые) и спокойно отображают его без всяких вводов PIN и прочего. Стандарт EMV (Europay/MasterCard/VISA) обязателен к соблюдению на территории Европы, а для Штатов носит рекомендательный характер.
Это задокументированная возможность карт. С информацией, которую вы можете считать с бесконтактной карты вы все равно ничего не сможете сделать.
tjournal.ru
Опубликовано 10 лет назад