Uma equipe de acadêmicos da Suíça descobriu um bug de segurança que pode ser usado para contornar os códigos PIN para pagamentos sem contato do Visa.
Isso significa que, se os criminosos estiverem de posse de um cartão sem contato Visa roubado, eles poderão usá-lo para pagar produtos caros, acima do limite de transação sem contato e sem a necessidade de inserir o código PIN do cartão.
O ataque é extremamente furtivo, dizem os acadêmicos, e pode ser facilmente confundido com um cliente pagando por produtos usando uma carteira móvel / digital instalada em seu smartphone.
No entanto, na realidade, o invasor está pagando com dados recebidos de um cartão sem contato Visa (roubado) que está escondido no corpo do invasor.
De acordo com a equipe de pesquisa, um ataque bem-sucedido requer quatro componentes: (1 + 2) dois smartphones Android, (3) um aplicativo Android especial desenvolvido pela equipe de pesquisa e (4) um cartão sem contato Visa.
O aplicativo Android é instalado nos dois smartphones, que funcionará como emulador de cartão e emulador de POS (Point-Of-Sale).
O telefone que emula um aparelho POS é colocado próximo ao cartão roubado, enquanto o smartphone que funciona como emulador de cartão é usado para pagar as mercadorias.
Toda a ideia por trás do ataque é que o emulador de POS pede ao cartão para fazer um pagamento, modifica os detalhes da transação e, em seguida, envia os dados modificados via WiFi para o segundo smartphone que faz um grande pagamento sem precisar fornecer um PIN (como o invasor modificou os dados da transação para dizer que o PIN não é necessário).
“Nosso aplicativo não requer privilégios de root ou quaisquer hacks sofisticados para o Android e temos usado com sucesso em dispositivos Pixel e Huawei”, disseram os pesquisadores.
No nível técnico, os pesquisadores disseram que o ataque é possível por causa do que eles descrevem como falhas de projeto no padrão EMV e no protocolo sem contato da Visa.
Esses problemas permitem que um invasor altere os dados envolvidos em uma transação sem contato, incluindo os campos que controlam os detalhes da transação e se o proprietário do cartão foi verificado.
“O método de verificação do titular do cartão usado em uma transação, se houver, não é autenticado nem criptograficamente protegido contra modificação”, disseram os pesquisadores.
“O ataque consiste na modificação de um objeto de dados originado do cartão – os qualificadores de transação de cartão – antes de entregá-lo ao terminal”, acrescentaram.
“A modificação instrui o terminal que: (1) a verificação do PIN não é necessária e (2) o titular do cartão foi verificado no dispositivo do consumidor (por exemplo, um smartphone).”
Essas modificações são realizadas no smartphone rodando o emulador de PDV, antes de serem enviadas para o segundo smartphone e, em seguida, retransmitidas para o próprio dispositivo PDV, que não saberia dizer se os dados da transação foram modificados.
Este problema de segurança foi descoberto no início deste ano por acadêmicos do Instituto Federal Suíço de Tecnologia (ETH) em Zurique.
Os pesquisadores da ETH Zurich disseram que testaram seu ataque no mundo real, em lojas reais, sem enfrentar nenhum problema. O ataque foi bem-sucedido ao contornar os PINs dos cartões Visa Credit, Visa Electron e VPay, disseram eles.
Um porta-voz da Visa não retornou um e-mail pedindo comentários sobre as descobertas do documento de pesquisa, que a ZDNet enviou na quinta-feira, mas a equipe da ETH Zurich disse que notificou a Visa de suas descobertas.
Para descobrir esse bug, a equipe de pesquisa disse que usou uma versão modificada de uma ferramenta chamada Tamarin , que foi usada anteriormente para descobrir vulnerabilidades complexas no protocolo criptográfico TLS 1.3 [ PDF ] e no mecanismo de autenticação 5G [ PDF ].
Além do desvio do PIN nos cartões sem contato Visa, a mesma ferramenta também descobriu um segundo problema de segurança, desta vez afetando tanto o Mastercard quanto o Visa. Os pesquisadores explicam:
” Nossa análise simbólica também revela que, em uma transação offline sem contato com um cartão Visa ou Mastercard antigo, o cartão não autentica no terminal o ApplicationCryptogram (AC), que é uma prova criptográfica produzida por cartão da transação que o terminal não pode verificar (apenas o emissor do cartão pode). Isso permite que os criminosos enganem o terminal para aceitar uma transação off-line não autêntica. Mais tarde, quando o adquirente enviar os dados da transação como parte do registro de compensação, o banco emissor detectará o criptograma errado, mas o criminoso já se foi com as mercadorias . “
Ao contrário do primeiro bug, a equipe de pesquisa disse que não testou este segundo ataque em configurações do mundo real por razões éticas, pois isso teria defraudado os comerciantes.
Detalhes adicionais sobre a pesquisa da equipe podem ser encontrados em uma pré-impressão de papel intitulada ” The EMV Standard: Break, Fix, Verify .” Os pesquisadores também devem apresentar suas descobertas no Simpósio IEEE sobre Segurança e Privacidade, no próximo ano, em maio de 2021.
Fonte: https://www.zdnet.com/article/academics-bypass-pins-for-visa-contactless-payments/
Imagem: Clay Banks
Como o golpe funcionava- O atacante publicou um projeto “parecido com legítimo” no GitHub, usando…
Falha crítica no better-auth permite criar API keys sem autenticação para usuários arbitrários, com risco…
Graphite, spyware ligado à Paragon, volta ao foco com evidências forenses de ataques zero-click a…
Nova campanha SmartLoader manipula a confiança em repositórios e diretórios de MCP para distribuir StealC.…
A CISA incluiu o CVE-2024-7694 no catálogo KEV após confirmação de exploração em ambiente real.…
Relatório da Dragos indica que operadores ligados à China mantiveram acesso persistente a redes de…