VIDEO: Konec bezpečnosti Vašich platebních karet? Hackeři objevili brutální chybu v bezdrátovém protokolu platebních terminálů! [CZ Titulky]

Chtěl bych upozornit všechny čtenáře AE News na velmi závažnou bezpečnostní chybu bezdrátových platebních terminálů, které jsou hojně využívány v celé Evropě, v restauracích, v hotelech, na pobočkách mobilních operátorů a všude možně. Tým bezpečnostních analytiků z Berlína odhalil brutální chybu typu „fault-by-design“ v komunikačním bezdrátovém protokolu platebních terminálů bank a platebních institucí, se kterými se setkáte prakticky všude. Ochrana proti tomuto útoku spočívá jedině tak, že platební terminál připojí prodejce nebo obchodník ke své síti klasickým síťovým kabelem a zakáže bezdrátovou komunikaci terminálu s platebním serverem, ale zařízení jsou podle všeho zranitelná i po internetu, bez ohledu na způsob připojení terminálů k síti, takže co teď? Platit hotově?

Video, ke kterému jsem narychlo udělal titulky, ukazuje model útoku pro běžné uživatele. Jako varování je to myslím dostatečný příklad. Samotná chyba a její využití útočníkem je ve videu záměrně zrychleno, aby televize RT nemohla být z něčeho obviněna. Přestože v minulosti existovalo mnoho typů útoků na platební terminály, tato nová metoda je jiná. Využívá chybu v komunikačním designu samotného protokolu.

Exploit spočívá v podstrčení kryptografického klíče při zadávání pinu do terminálu skrze bezdrátovou síť, kterou je terminál připojený k platebnímu serveru prodejce. Útočník čeká na okamžik, kdy oběť odešle PIN z klávesnice. PIN se zakóduje kryptografickým klíčem (protipodpisem) útočníka, namísto podpisu legitimního serveru. Terminál si totiž nijak na úrovni protokolu neověřuje autoritu klíče, protože ani nemá jak. Po odeslání PINu oběti platba selže, pravý server jí odmítne, protože kryptografický klíč nesouhlasí. Ovšem útočník získá PIN a všechny údaje o kartě v pořádku, protože oběť zakryptovala informace z terminálu právě klíčem útočníka.

Tato brutální chyba je typu „fault-by-design“, tedy je přímo součástí samotného návrhu protokolu platebních terminálů a její náprava bude znamenat přepsání celého protokolu a systému ověřování podpisových autorit. Banky se do změny protokolu nehrnou, protože to není jen tak. Každý nový protokol musí projít mnoha audity a zkouškami a jeho zavedení musí být schváleno na mnoha úrovních.

Postiženy jsou jmenovitě terminály ZVT a Poseidon, ale také Verifone, které jsou v Evropě prakticky všude. Výzkumníci zjistili, že všechny terminály používají jeden stejný master key, což je něco naprosto neuvěřitelného, jak něco takového mohlo projít bezpečnostními bankovními audity před více než 15 lety. Každý terminál se tak může chovat jako jiný terminál. To je prostě neslýchané. Více podrobností naleznete zde.

Doporučuji se vyhnout všem platebním terminálům, které nejsou připojeny k pokladně drátem. Pokud Vám prodejce dá do ruky platební terminál a nevede z něho žádný kabel, jde o bezdrátový terminál, který je zranitelný instantně, to znamená okamžitě, a to někým v okolí. Použijte k platbě zásadně hotovost v takovém případě.

-Administrator-