Исследователи из Кембриджского университета обнаружили две критические уязвимости в реализации технологии Chip-and-PIN в банковской платежной системе EMV. Бреши позволяют «клонировать» карты таким образом, что банки будут просто неспособны распознать подделку.
Платежные карты содержат чип, который позволяет реализовать протокол аутентификации, требующий от терминала или банкомата генерации одноразового «непредсказуемого» номера для проведения каждой отдельной транзакции.
«Платежный терминал выполняет протокол EMV с чипом, который обменивается данными по определенной транзакции, запечатанными зашифрованным кодом аутентичности сообщения (МАС)», - пишут исследователи, подчеркивающие, что в ходе этого процесса используется симметричный ключ, сохраненный на карте.
По данным экспертов, некоторые банкоматы некачественно генерируют случайные числа, которые можно легко предсказать. Это, в свою очередь, приводит к тому, что злоумышленники могут с легкостью вычислить код аутентификации, необходимый для снятия наличных в будущем.
Такие атаки «ничем не отличаются от копирования карт с точки зрения журналов, находящихся в распоряжении банков-эмитентов». Их можно осуществлять, даже если отсутствует возможность физически клонировать карту, уверены эксперты.
Еще одна уязвимость заключается в некорректной реализации протокола, что позволяет вредоносному ПО пробираться на банкомат или терминал. В таком случае злоумышленник может просто заменить случайный номер придуманным им числом.
Отметим, что о наличии двух брешей представителей банковской системы уведомили еще в 2012 году, однако разработкой исправления пока занялись только для первой.
