Ученые научились взламывать PIN-коды на банковских картах.

Команда ученых из Швейцарии обнаружила ошибку безопасности, ( https://www.zdnet.com/article/academics-bypass-pins-for-visa-contactless-payments/ ) которой можно злоупотреблять для обхода PIN-кодов для бесконтактных платежей Visa.
По мнению исследовательской группы, для успешной атаки необходимы четыре компонента: два смартфона Android, специальное приложение для Android, разработанное исследовательской группой, и бесконтактная карта Visa.
На два смартфона установлено приложение Android, которое будет работать как эмулятор карты и эмулятор POS-терминала.
Телефон, который имитирует POS-устройство, кладут рядом с украденной картой, а смартфон, работающий как эмулятор карты, используется для оплаты товаров.
Вся идея атаки заключается в том, что эмулятор POS-терминала запрашивает у карты оплату, изменяет детали транзакции, а затем отправляет измененные данные через Wi-Fi на второй смартфон, который совершает крупный платеж без необходимости предоставления PIN-кода.
«Наше приложение не требует привилегий root или каких-либо хитроумных взломов Android, и мы успешно использовали его на устройствах Pixel и Huawei», - заявили исследователи.
Видео демонстрация атаки выложена ( https://www.youtube.com/watch?v=JyUsMLxCCt8 ) на Youtube
Представитель Visa не ответил на электронное письмо с просьбой прокомментировать результаты исследования😅
=========================
Обнаружена также вторая атака, затрагивающая и Visa и MasterCard.
Чтобы обнаружить эту ошибку, исследовательская группа сообщила, что они использовали модифицированную версию ( https://github.com/EMVrace/EMVerify ) инструмента под названием Tamarin ( https://tamarin-prover.github.io/ )
Атака позволяет злоумышленникам обманом заставить терминал принять неподлинную офлайн-транзакцию.
В отличие от первой ошибки, исследовательская группа заявила, что не тестировала эту вторую атаку в реальных условиях по этическим соображениям, поскольку это могло бы обмануть торговцев.🤷🏼‍♀️
Планируется, что исследователи представят свои выводы на симпозиуме IEEE по безопасности и конфиденциальности в следующем году, в мае 2021 года. До тех пор все банковские карты мира уязвимы к атакам.