Бесконтактные карты российских банков оказались уязвимы перед NFC-читалкой для Android Статьи редакции

При помощи приложения «EMV NFC pay card reader», доступного бесплатно в магазине Google Play, можно по прикосновению читать данные о транзакциях карт PayPass и payWave российских банков. Об этом TJournal узнал через твиттер Антона Волнухина.

Приложение NFC-читалки для Android смогло прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации и отобразило их список на смартфоне. В информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о назначении.

По словам Волнухина, он проверил уязвимость на имеющихся у него картах PayPass и выяснил, что она затронула только те, что были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула, поэтому он предположил, что проблема кроется в настройках безопасности отечественных банков.

С подобной проблемой столкнулись и другие участники русскоязычного сообщества сервиса микроблогов Friendfeed. Они сообщили, что таким образом можно прочитать данные не только по бесконтактным, но и по обычным транзакциям, совершенным без NFC. Проверки проводились на картах «Райффайзенбанка», «Альфа-Банка», «Тинькофф Кредитные Системы» и «Ситибанка», то же самое произошло и с картой от «Яндекс.Денег».

Некоторые пользователи сообщили, что приложение показало им не все транзакции, а только часть. У одного из них они показывались вразнобой, а у другого отобразились только те, у которых сумма платежа была меньше 2 тысяч рублей. Для зарубежных карт информация в приложении не отображалась.

В комментариях предположили, что NFC-читалка может «сливать» полученные от считывания карт данные, но по словам автора обсуждения после изучения исходных кодов приложения эта информация не подтвердилась.

Хотя таким образом и нельзя узнать, на что тратил деньги владелец карты, уязвимость может быть серьёзным нарушением частной жизни. Автор обсуждения на Friendfeed привёл анекдотичный пример: официантка или кассир, пробивающая чек, видит, сколько вы тратите и может потребовать солидных чаевых.

0
65 комментариев
Популярные
По порядку
Написать комментарий...
Маленький бокал

По стандарту EMV данные о последних транзакциях и о балансе кошелька хранятся в незашифрованном виде хотя бы для того чтобы можно было проверить работоспособность карты и наличие на ней средств в случае сбоев оплаты.
Существуют специальные брелки, которые читаю баланс карт (смарт-кард, с чипом которые) и спокойно отображают его без всяких вводов PIN и прочего. И вот кошмар, они уже лет 10 как существуют!!!
Например здесь можно глянуть такой:
http://www.idea.uz/content/2048
И еще. Стандарт EMV (Europay/MasterCard/VISA) обязателен к соблюдению на территории Европы, а для Штатов носит рекомендательный характер. Теперь понятно уже почти все или еще нет?
Так что перед тем чтобы публиковать такую непроверенную желтуху - получите сначала консультацию у любого банка.

Ответить
27
Развернуть ветку
Маленький бокал

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Маленький бокал

Тот момент, когда я дико благодарен своему банку, что он прислал мне paypass-карту с нерабочим paypass

Ответить
17
Развернуть ветку
Маленький бокал

не то пропалили бы, что ты куда-то ТРАТИШЬ ДЕНЬГИ

Ответить
6
Развернуть ветку
Маленький бокал

Технология paypass куда удобнее, чем опасность того что кто-то получит список трат без уточнения на что были траты. Не понимаю ценность этой информации. Чаевые я все равно могу дать какие захочу)

Ответить
0
Развернуть ветку
Маленький бокал

>Не понимаю ценность этой информации.

Каждый раз, когда вы так говорите, где-то в России плачет от счастья один фсбшник.

Ответить
2
Развернуть ветку
Маленький бокал

Я не даю свою карту с paypass, людям с телефонами на android, у которых есть чип NFC и эта программа.

Ответить
4
Развернуть ветку
Маленький бокал

Просто сами понимаете...

Ответить
4
Развернуть ветку
Маленький бокал

блин, ну вроде замутили картинку, а подпись с ошибками..нехорошо

Ответить
2
Развернуть ветку
Маленький бокал

Заметил после публикации. Хотел отредактировать, но увы. Сделаем вид, что ничего не случилось.

Ответить
0
Развернуть ветку
Маленький бокал

Думаю можно прям из кармана считать.

Ответить
0
Развернуть ветку
Маленький бокал

Уязвимость хоть и неприятная, но как с меня могут чаевые *потребовать*?

Ответить
3
Развернуть ветку
Маленький бокал

"...Ты такие бабки на всякую х**ню тратишь - чё те, лишний полтос жалко, да?"

Ответить
4
Развернуть ветку
Маленький бокал

О БОЖЕ МОЙ КАКАЯ УЯЗВИМОСТЬ Я ВЗЯЛ СВОЮ КАРТУ С NFC РАЗЛОМАЛ НА 10 ЧАСТЕЙ, ИЗ НИХ ТРЕТЬ РАСТВОРИЛ В КИСЛОТЕ, ОДНУ ТРЕТЬ СЖЕГ И СМЫЛ В УНИТАЗ, А ОСТАВШУЮСЯ ЧАСТЬ ЗАСУНУЛ В БЛЕНДЕР И ВЫКИНУЛ В МУСОРКУ ЗАТО ТЕПЕРЬ НИКТО НЕ СМОЖЕТ ПРОЧИТАТЬ ИСТОРИЮ МОИХ ТРАНЗАКЦИЙ ПОДНЕСЯ ЕЕ К ТЕЛЕФОНУ С АНДРОИДОМ

Ответить
3
Развернуть ветку
Маленький бокал

Что за приложение на экране телефона?

Ответить
2
Развернуть ветку
Маленький бокал
Ответить
0
Развернуть ветку
Маленький бокал

Смею заметить что прочитать информацию можно о транзакциях ТОЛЬКО СОВЕРШЕННЫХ ПО ЧИПУ! Никакие другие в списке операция не видны, в том числе и по PAYPASS
Как видите на скриншоте программы у разработчика-история операций видна и на его европейской карте. так что это не уязвимость

Ответить
2
Развернуть ветку
Маленький бокал

Правильно понял, что читалка получает от POS терминала все Paypass и Paywave карты которые до этого подносились к этому терминалу?

Ответить
1
Развернуть ветку
Маленький бокал

Вот непонятной картинкой снабжена статья, да.

Ответить
6
Развернуть ветку
Маленький бокал

Комментарий удален по просьбе пользователя

Ответить
0
Развернуть ветку
Маленький бокал

Телефон с NFC и приложением получает список покупок с любой (?) российской PayPass карты.

Ответить
0
Развернуть ветку
Маленький бокал

Илья, прошу прощения, если скажу глупость, но я не в теме.
А что, на карте локально хранится информация о последних транзакциях?

Ответить
0
Развернуть ветку
Маленький бокал

Я вот тоже не могу понять, какой объем информации сохраняется на карте? При условии, что на иой взгляд эта информация должна хранится "далеко" от карты, допустим на сервах банка

Ответить
2
Развернуть ветку
Маленький бокал

А в Думе уже смакуют.

(и не важно, на самом деле, опасно или нет)

Ответить
1
Развернуть ветку
Маленький бокал

Запретить Андроид!

Ответить
1
Развернуть ветку
Маленький бокал

Про Айфон уже заикались, черед Андроида настал.
Вот она почва для Yota!

Ответить
0
Развернуть ветку
Маленький бокал

Запреты, you know, они не устоят*

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку
Маленький бокал

Все-таки перед тем как писать дурацкую статью очень советую изучать тему или хотя бы консультироваться со специалистами. Это не уязвимость и не проблема российских банков. Это задокументированная возможность карт. С информацией, которую Вы можете считать с бесконтактной карты Вы все равно ничего не сможете сделать. Стандарты EMV - это не статьи в интернете, их идиоты не пишут.

Ответить
1
Развернуть ветку
Маленький бокал

Жаль, что новость вышла в выходные. У банков на 2 дня меньше времени, чтобы отреагировать.

Ответить
0
Развернуть ветку
Маленький бокал

И как им реагировать? Заменить за пару дней миллионы карт на новые, предварительно выцепив клиента?

Ответить
0
Развернуть ветку
Маленький бокал

Пресс релизом для начала. И наказать виновных. ;)

Ответить
0
Развернуть ветку
Маленький бокал

Блин, это только у меня выходной же, я на больничном. Тупанул!!! А!

Ответить
0
Развернуть ветку
Маленький бокал

Ну пятница как-бы на Земле... Впринципе ты прав.

Ответить
0
Развернуть ветку
Маленький бокал

Только что попробовал на газпромбанке и это работает!

Ответить
0
Развернуть ветку
Маленький бокал
Ответить
0
Развернуть ветку
Маленький бокал

ТКС дебитовая работает

Ответить
0
Развернуть ветку
Маленький бокал

Сравни список с выпиской, совпадает?

Ответить
0
Развернуть ветку
Маленький бокал

Показало какие-то транзакции за 2 месяца, сравнил список с выпиской, ни одна не совпала, ни приход, ни расход. Попробовал на двух картах, в обоих случаях одно и тоже.

Ответить
0
Развернуть ветку
Маленький бокал

так-то, без этого, официантка или кассир и не догадываются на что и сколько ты тратишь

Ответить
0
Развернуть ветку
Маленький бокал

Хороший повод что-нибудь законодательно запретить.

Ответить
0
Развернуть ветку
Маленький бокал

Банковские карты, NFC и телефоны с Андроидом. Очевидно же.
Бонус-левел: каким-нибудь образом увязать всё это с педофилией и терроризмом.

Ответить
4
Развернуть ветку
Маленький бокал

Ачивка: прими в трёх чтениях за один день

Ответить
2
Развернуть ветку
Маленький бокал

Депутаты будут предполагать, что можно будет взрывать АЭС через PayPass

Ответить
2
Развернуть ветку
Маленький бокал
Ответить
0
Развернуть ветку
Маленький бокал

что то я нифига не понял. как связан телефон на андроиде с нфс и карточка? какие операции можно проводить в этой связке?

Ответить
0
Развернуть ветку
Маленький бокал

Попробовал. Работает, но ничего особенного.
Считался номер карты и история PayPass оплат - дата и сумма.
Злоумышленнику эта информация ничем полезна не будет, да и мне особо тоже, кроме того что увидел, сколько раз я таким образом оплатил.

Ответить
0
Развернуть ветку
Маленький бокал

А твоей женщине? ;)

Ответить
0
Развернуть ветку
Маленький бокал

Можно, я с двух сторон прокомментирую?
Сначала официально. Да, любая несанкционированная утечка любых данных -- это отвратительно и должно пресекаться. Дыр не должно быть.
Теперь неофициально. Если какая-то женщина, мужчина, ребёнок или собака вздумают отчитывать меня за мои транзакции, он/она/оно отправится на три буквы, и я не могу вспомнить ни одно существо, которого бы это потенциально не могло коснуться.

Ответить
–1
Развернуть ветку
Маленький бокал

Ты просто не любил! )))

Ответить
2
Развернуть ветку
Маленький бокал

Тинькофф Я.Деньги - не сработало. Ошибка чтения. Телефон Xperia Z. Может, и пофиксили уже, а может, и телефон глючит - ибо PayPass работает нормально.

Ответить
0
Развернуть ветку
Маленький бокал

повторите еще раз. двигайте медленно карту. она работает без проблем.

Ответить
0
Развернуть ветку
Маленький бокал

Сработало. Сейчас отпишу в я.деньги

Ответить
0
Развернуть ветку
Маленький бокал

Начиная с 16 августа почти все операции показал по карте ТКС. Также видит номер карты, и срок её действия. Макдональдс только вот не засветился в транзакциях, шифруется видимо)

Ответить
0
Развернуть ветку
Маленький бокал

потому что ее сделали по Paypass, а это не логируется

Ответить
0
Развернуть ветку
Маленький бокал

да и список истории транзакций ограничен 10-ю

Ответить
0
Развернуть ветку
Маленький бокал

"то же самое произошло и с картой от «Яндекс.Денег»." А разве у них не ТКС банк делает карты?

Ответить
0
Развернуть ветку
Маленький бокал

ТКС только эмитент карт. Карты печатаются на заводе ООО "Алиот" но чипы на всех картах разных производителей, Тоесть кто какие закупит те и будут использованы

Ответить
0
Развернуть ветку
Маленький бокал

Я вот одного не понимаю. NFC крут только если владельцу телефона позволяют принять или отказаться от транзакции, сумма которой высвечивается у него на телефоне. Такую услугу ни один банк не предоставляет. Чем NFC в телефону удобнее карты если терминал может снять с тебя любую сумму без подтверждения?

Ответить
0
Развернуть ветку
Маленький бокал

Да это не по теме статьи. Это я так о наболевшем...

Ответить
0
Развернуть ветку
Маленький бокал

банк Авангард: показал только общую инфу о карте.
Видимо показывает только транзакции какого-то типа.

Ответить
0
Развернуть ветку
Маленький бокал

С картой ТКС от 07.14 не работет ни в какую

Ответить
0
Развернуть ветку
Маленький бокал

ТКС среагировал и предложил бесплатно перевыпустить карту. Хотя я лично проблема не вижу.

Ответить
0
Развернуть ветку
Маленький бокал

Apple Pay все еще говно?

Ответить
0
Развернуть ветку
Маленький бокал

при чем здесь apple pay?

Ответить
0
Развернуть ветку
Маленький бокал

Теперь на центральных ветках метро будут специально обученные люди которые будут терется о ваши карманы дабы спи**ить 50 рублей. Классические щепачи - это уже не в тренде

Ответить
0
Развернуть ветку

Комментарий удален

Развернуть ветку

Комментарий удален

Развернуть ветку
Читать все 65 комментариев
null