Dziurawe czytniki kart płatniczych

Zespół specjalistów z Cambridge opublikował informacje o dziurach w popularnych czytnikach kart z paskiem magnetycznym. Wykryte luki umożliwiają nie tylko skopiowanie danych z paska magnetycznego, ale i wpisywanego kodu PIN.

Dziurawe czytniki kart płatniczych
Czytnik karty zintegrowany z klawiaturą do wpisywania kodu PIN to coraz częściej standardowy element wyposażenia kasy w restauracjach, sklepach i innych punktach handlowych. Klient wpisuje PIN na klawiaturze wbudowanej w sam czytnik, dzięki czemu ma pewność, że jego kod PIN nie jest nigdzie przesyłany - nawet jeśli komuś uda się skopiować pasek magnatyczny karty, to i tak bez kodu kopia taka będzie bezużyteczna.

Badacze z Computer Laboratory Security Group (CLSG) Uniwersytetu Cambridge twierdzą jednak, że w co najmniej dwóch ze zbadanych czytników - Ingenico i3300 oraz Dione Xtreme - dane z czytnika do systemu transakcyjnego nie są odpowiednio zabezpieczone. Eksperci utrzymują, że przestępcy mogą wykorzystać te luki do masowego kopiowania kart płatniczych klientów.

Błędy w zabezpieczeniach to nie tylko brak szyfrowania komunikacji, ale również niezabezpieczone przed manipulacją obudowy czytników, które - jak zademonstrowali badacze - stanowią doskonały schowek dla miniaturowych urządzeń rejestrujących zawartość kart. Obydwa czytniki zostały zaakceptowane przez firmę VISA, zaś czytnik Ingenico dodatkowo posiada - co może budzić zdziwienie - certyfikat Common Criteria. To standard badania bezpieczeństwa produktów teleinformatycznych. Certyfikat CC jest zwykle wydany przez jedną z krajowych instytucji zajmujących się bezpieczeństwem (w Wielkiej Brytanii, przykładowo - Government Communications Headquarters). W tym przypadku certyfikat jednak został wydany przez APACS (brytyjską organizację skupiającą instytucje płatnicze) na podstawie niejawnej dokumentacji i badania bliżej niekreślonego laboratorium. Należy podkreślić, że problem dotyczy tylko kart z paskiem magnetycznym, a nie kart chipowych. Te ostatnie są jednak nadal mało rozpowszechnione.

Na podniesione przez zespół CLSG problemy APACS odpowiedział, że "po starannej ocenie nie zgadzają się z zaprezentowaną oceną ryzyka". Równocześnie jednak w poufnym raporcie na temat wyłudzeń przy pomocy kart płatniczych opublikowanym nieco wcześniej APACS przytoczył opis autentycznego przypadku, gdy w 2006 roku grupa przestępcza zainstalowała urządzenie do kopiowania kart ("skimmer") właśnie wewnątrz czytników z PINpadem. W odpowiedzi udzielonej CLSG zapewniono jednak, że czytniki z opisanymi podatnościami nie będą zalecane do nowych wdrożeń.

Badacze zalecają by instytucje finansowe wydawały klientom wyłącznie karty płatnicze zgodne z nowszym standardem bezpieczeństwa iCVV. Rozwiązanie to, wykorzystujące dodatkowy chip na karcie, umożliwia wykrywanie nielegalnie sklonowanych danych na paskach magnetycznych.

Więcej na ten temat:

http://www.cl.cam.ac.uk/research/security/banking/ped/

http://cryptome.org/UK-Chip-PIN-07.pdf

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200