В Швейцарской высшей технической школе Цюриха выявили возможность обхода PIN-кодов на бесконтактных картах Mastercard и Maestro.
Для проведения атаки Man-in-the-Middle злоумышленнику потребуется украденная карта и два смартфона на Android, на каждом из которых установлено пользовательское приложение, вмешивающееся в поля транзакции.
Первый гаджет помещается рядом с картой и действует как эмулятор PoS-терминала — он заставляет карту инициировать транзакцию и делиться своими данными. Второй уже выступает в роли эмулятора карты и используется для передачи измененных данных транзакции в реальный PoS-терминал внутри магазина.
Ранее эту схему использовали на бесконтактных платежах с помощью карт Visa Credit, Visa Debit, Visa Electron и V Pay. Оказалось, проблема также затрагивает Mastercard и Maestro.
Mastercard выпустила соответствующие исправления в начале этого года; Visa, по последним данным, пока не устранила уязвимость.