Журнал ПЛАС » Новости » Безопасность » 46 просмотров

Уязвимость при бесконтактной оплате: теоретически возможно, практически неосуществимо

Уязвимость при бесконтактной оплате: теоретически возможно, практически неосуществимо

Мы продолжаем исследовать вместе с экспертами новую уязвимость, использование которой, как сообщается некоторыми СМИ, якобы может позволить обойти защиту ПИН-кодом при бесконтактной оплате картами Visa. Сегодня своим мнением по этому вопросу с порталом PLUSworld.ru поделился независимый эксперт с многолетним опытом работы в сфере платежных технологий Александр Жуков.

Суть атаки при бесконтактной карточной транзакции состоит не в том, чтобы искусственно увеличить предустановленный лимит (а именно так проблема была интерпретирована рядом экспертов, комментировавших информацию), а в том, чтобы: а) увеличить сумму транзакции, превысив предустановленный лимит; б) модифицировать при этом CTQ.

CTQ (Card Transaction Qualifiers) специфичный для VCPS (Visa Contactless Payment Specification) объект, в котором определяются способы верификации держателя карты (они же «CVM-методы») – такие как ПИН-код, подпись, и др. В процессе обмена данными терминал анализирует этот объект и на определенном этапе сверяет его со своим, который именуется TTQ (Terminal Transaction Qualifiers), после чего выбирается приемлемый взаимно-доступный метод верификации.

В случае рассматриваемого нами вида атаки со стороны преступников предполагается модифицировать CTQ таким образом, чтобы «сказать» терминалу: запрос ПИН-кода не требуется, поскольку верификация уже была выполнена с помощью CDCVM (CDCVM, Consumer Device Cardholder Verification Method – способ, при котором верификация держателя карты выполняется на мобильном устройстве в рамках одного из сервисов Pays. Например, Touch ID, графический ключ или другой метод, доступный/настроенный на данном-конкретном мобильном устройстве).

Однако вся соль вопроса заключается в том, что, помимо обсуждаемого объекта, карта и терминал обмениваются массой других данных. И по содержанию ряда из этих данных терминал вполне способен «понять», с каким именно платежным средством выполняется обмен – с бесконтактной картой или с одним из Pays-сервисов. Помимо прочего, такими объектами является, например, PDOL и AIP.

PDOL (Processing Options Data Object List) – набор данных, которые терминал обязан передать карте для дальнейшей обработки. Для бесконтактной карты и для какого-либо Pays-сервиса этот набор существенно отличается.

Свою очередь, AIP (Application Interchange Profile) – объект на карте/кошельке, определяющий возможности их использования, а также явно указывающий, чем является данное конкретное средство – картой или, допустим, кошельком Apple Pay.

Таким образом, поскольку упомянутый выше CDCVM является методом, характерным только и исключительно для pays-сервисов, при попытке «подсунуть» ему модифицированный CTQ терминал с большой долей вероятности прекратит обмен данными либо выполнит «Switch Interface», т. е. предложит использовать контактный чип с запросом ПИН-кода. Из этого следует, что одной лишь подменой CTQ реализовать описанную атаку очень и очень проблематично.

Также следует упомянуть и о том, что существуют способ онлайн-проверки криптограммы эмитентом, для чего используется уже совсем другой набор данных. Речь идет об объекте CVR (Card Verification Result) передаваемом «внутри» объекта IAD (Issuer Authentication Data). В нашем случае эмитент вполне сможет проанализировать содержание уже упоминавшегося выше объекта AIP и сравнить его с объектом CVR (оба этих объекта передаются в авторизационном запросе). При этом, если в AIP будет отсутствовать признак того, что это pays-кошелек, но в CVR будет содержаться признак «CDCVM performed», мы получим отказ.

Тем не менее, пойдем дальше, приняв множество допущений:

  1. допустим, мошенникам удалось разместить два устройства для модификации обсуждаемых данных в опасной близости от места, где предъявляют карты;
  2. допустим, им удалось модифицировать CTQ и все коррелирующие с этим объектом данные;
  3. допустим, эмитент одобрил такую транзакцию.

В конечном итоге это приведет к тому, что держатель карты обнаружит, что одобренная сумма отличается от изначальной.

В целом обсуждаемая уязвимость из той же серии, что и страшилки про мошенников, которые ходят в метро с бесконтактными терминалами и незаметно списывают деньги с карт. Теоретически и в лабораторных условиях это возможно, однако практически неосуществимо либо просто не имеет никакого экономического смысла для преступников.

По материалам PLUSworld.ru

 

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных