Бесконтактные карты российских банков оказались уязвимы перед NFC-читалкой для Android

При помощи приложения «EMV NFC pay card reader», доступного бесплатно в магазине Google Play, можно по прикосновению читать данные о транзакциях карт PayPass и payWave российских банков. Об этом TJournal узнал через твиттер Антона Волнухина.

Поделиться

Приложение NFC-читалки для Android смогло прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации и отобразило их список на смартфоне. В информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о назначении.

По словам Волнухина, он проверил уязвимость на имеющихся у него картах PayPass и выяснил, что она затронула только те, что были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула, поэтому он предположил, что проблема кроется в настройках безопасности отечественных банков.

С подобной проблемой столкнулись и другие участники русскоязычного сообщества сервиса микроблогов Friendfeed. Они сообщили, что таким образом можно прочитать данные не только по бесконтактным, но и по обычным транзакциям, совершенным без NFC. Проверки проводились на картах «Райффайзенбанка», «Альфа-Банка», «Тинькофф Кредитные Системы» и «Ситибанка», то же самое произошло и с картой от «Яндекс.Денег».

Некоторые пользователи сообщили, что приложение показало им не все транзакции, а только часть. У одного из них они показывались вразнобой, а у другого отобразились только те, у которых сумма платежа была меньше 2 тысяч рублей. Для зарубежных карт информация в приложении не отображалась.

В комментариях предположили, что NFC-читалка может «сливать» полученные от считывания карт данные, но по словам автора обсуждения после изучения исходных кодов приложения эта информация не подтвердилась.

Хотя таким образом и нельзя узнать, на что тратил деньги владелец карты, уязвимость может быть серьёзным нарушением частной жизни. Автор обсуждения на Friendfeed привёл анекдотичный пример: официантка или кассир, пробивающая чек, видит, сколько вы тратите и может потребовать солидных чаевых.

Поделиться

Нашли опечатку? Выделите фрагмент и отправьте нажатием Ctrl+Enter.

3 лучших комментария

По стандарту EMV данные о последних транзакциях и о балансе кошелька хранятся в незашифрованном виде хотя бы для того чтобы можно было проверить работоспособность карты и наличие на ней средств в случае сбоев оплаты.
Существуют специальные брелки, которые читаю баланс карт (смарт-кард, с чипом которые) и спокойно отображают его без всяких вводов PIN и прочего. И вот кошмар, они уже лет 10 как существуют!!!
Например здесь можно глянуть такой:
www.idea.uz/content/2048
И еще. Стандарт EMV (Europay/MasterCard/VISA) обязателен к соблюдению на территории Европы, а для Штатов носит рекомендательный характер. Теперь понятно уже почти все или еще нет?
Так что перед тем чтобы публиковать такую непроверенную желтуху - получите сначала консультацию у любого банка.

27

Тот момент, когда я дико благодарен своему банку, что он прислал мне paypass-карту с нерабочим paypass

17

Я не даю свою карту с paypass, людям с телефонами на android, у которых есть чип NFC и эта программа.

4
66 комментариев доступны только владельцам аккаунта TJ+
Наверх