Бесконтактные карты российских банков оказались уязвимы перед NFC-читалкой для Android Статьи редакции
При помощи приложения «EMV NFC pay card reader», доступного бесплатно в магазине Google Play, можно по прикосновению читать данные о транзакциях карт PayPass и payWave российских банков. Об этом TJournal узнал через твиттер Антона Волнухина.
Приложение NFC-читалки для Android смогло прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации и отобразило их список на смартфоне. В информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о назначении.
По словам Волнухина, он проверил уязвимость на имеющихся у него картах PayPass и выяснил, что она затронула только те, что были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула, поэтому он предположил, что проблема кроется в настройках безопасности отечественных банков.
С подобной проблемой столкнулись и другие участники русскоязычного сообщества сервиса микроблогов Friendfeed. Они сообщили, что таким образом можно прочитать данные не только по бесконтактным, но и по обычным транзакциям, совершенным без NFC. Проверки проводились на картах «Райффайзенбанка», «Альфа-Банка», «Тинькофф Кредитные Системы» и «Ситибанка», то же самое произошло и с картой от «Яндекс.Денег».
Некоторые пользователи сообщили, что приложение показало им не все транзакции, а только часть. У одного из них они показывались вразнобой, а у другого отобразились только те, у которых сумма платежа была меньше 2 тысяч рублей. Для зарубежных карт информация в приложении не отображалась.
В комментариях предположили, что NFC-читалка может «сливать» полученные от считывания карт данные, но по словам автора обсуждения после изучения исходных кодов приложения эта информация не подтвердилась.
Хотя таким образом и нельзя узнать, на что тратил деньги владелец карты, уязвимость может быть серьёзным нарушением частной жизни. Автор обсуждения на Friendfeed привёл анекдотичный пример: официантка или кассир, пробивающая чек, видит, сколько вы тратите и может потребовать солидных чаевых.
#Новость #Альфа_Банк #Android #банки #NFC #Райффазенбанк #банковские_карты #PayPass #EMV_NFC_pay_card_reader #уязвимости_банковских_карт #payWave
По стандарту EMV данные о последних транзакциях и о балансе кошелька хранятся в незашифрованном виде хотя бы для того чтобы можно было проверить работоспособность карты и наличие на ней средств в случае сбоев оплаты.
Существуют специальные брелки, которые читаю баланс карт (смарт-кард, с чипом которые) и спокойно отображают его без всяких вводов PIN и прочего. И вот кошмар, они уже лет 10 как существуют!!!
Например здесь можно глянуть такой:
http://www.idea.uz/content/2048
И еще. Стандарт EMV (Europay/MasterCard/VISA) обязателен к соблюдению на территории Европы, а для Штатов носит рекомендательный характер. Теперь понятно уже почти все или еще нет?
Так что перед тем чтобы публиковать такую непроверенную желтуху - получите сначала консультацию у любого банка.
Комментарий недоступен
Тот момент, когда я дико благодарен своему банку, что он прислал мне paypass-карту с нерабочим paypass
не то пропалили бы, что ты куда-то ТРАТИШЬ ДЕНЬГИ
Технология paypass куда удобнее, чем опасность того что кто-то получит список трат без уточнения на что были траты. Не понимаю ценность этой информации. Чаевые я все равно могу дать какие захочу)
Я не даю свою карту с paypass, людям с телефонами на android, у которых есть чип NFC и эта программа.
Просто сами понимаете...
Думаю можно прям из кармана считать.
Уязвимость хоть и неприятная, но как с меня могут чаевые *потребовать*?
"...Ты такие бабки на всякую х**ню тратишь - чё те, лишний полтос жалко, да?"
О БОЖЕ МОЙ КАКАЯ УЯЗВИМОСТЬ Я ВЗЯЛ СВОЮ КАРТУ С NFC РАЗЛОМАЛ НА 10 ЧАСТЕЙ, ИЗ НИХ ТРЕТЬ РАСТВОРИЛ В КИСЛОТЕ, ОДНУ ТРЕТЬ СЖЕГ И СМЫЛ В УНИТАЗ, А ОСТАВШУЮСЯ ЧАСТЬ ЗАСУНУЛ В БЛЕНДЕР И ВЫКИНУЛ В МУСОРКУ ЗАТО ТЕПЕРЬ НИКТО НЕ СМОЖЕТ ПРОЧИТАТЬ ИСТОРИЮ МОИХ ТРАНЗАКЦИЙ ПОДНЕСЯ ЕЕ К ТЕЛЕФОНУ С АНДРОИДОМ
Что за приложение на экране телефона?
www.cardsmobile.ru
Смею заметить что прочитать информацию можно о транзакциях ТОЛЬКО СОВЕРШЕННЫХ ПО ЧИПУ! Никакие другие в списке операция не видны, в том числе и по PAYPASS
Как видите на скриншоте программы у разработчика-история операций видна и на его европейской карте. так что это не уязвимость
Правильно понял, что читалка получает от POS терминала все Paypass и Paywave карты которые до этого подносились к этому терминалу?
Вот непонятной картинкой снабжена статья, да.
Комментарий недоступен
Телефон с NFC и приложением получает список покупок с любой (?) российской PayPass карты.
А в Думе уже смакуют.
(и не важно, на самом деле, опасно или нет)
Запретить Андроид!
Запреты, you know, они не устоят*
Комментарий удален модератором
Все-таки перед тем как писать дурацкую статью очень советую изучать тему или хотя бы консультироваться со специалистами. Это не уязвимость и не проблема российских банков. Это задокументированная возможность карт. С информацией, которую Вы можете считать с бесконтактной карты Вы все равно ничего не сможете сделать. Стандарты EMV - это не статьи в интернете, их идиоты не пишут.
Жаль, что новость вышла в выходные. У банков на 2 дня меньше времени, чтобы отреагировать.
И как им реагировать? Заменить за пару дней миллионы карт на новые, предварительно выцепив клиента?
Блин, это только у меня выходной же, я на больничном. Тупанул!!! А!
Только что попробовал на газпромбанке и это работает!
ТКС дебитовая работает
Сравни список с выпиской, совпадает?
Показало какие-то транзакции за 2 месяца, сравнил список с выпиской, ни одна не совпала, ни приход, ни расход. Попробовал на двух картах, в обоих случаях одно и тоже.
так-то, без этого, официантка или кассир и не догадываются на что и сколько ты тратишь
Хороший повод что-нибудь законодательно запретить.
Банковские карты, NFC и телефоны с Андроидом. Очевидно же.
Бонус-левел: каким-нибудь образом увязать всё это с педофилией и терроризмом.
что то я нифига не понял. как связан телефон на андроиде с нфс и карточка? какие операции можно проводить в этой связке?
Попробовал. Работает, но ничего особенного.
Считался номер карты и история PayPass оплат - дата и сумма.
Злоумышленнику эта информация ничем полезна не будет, да и мне особо тоже, кроме того что увидел, сколько раз я таким образом оплатил.
А твоей женщине? ;)
Тинькофф Я.Деньги - не сработало. Ошибка чтения. Телефон Xperia Z. Может, и пофиксили уже, а может, и телефон глючит - ибо PayPass работает нормально.
повторите еще раз. двигайте медленно карту. она работает без проблем.
Сработало. Сейчас отпишу в я.деньги
Начиная с 16 августа почти все операции показал по карте ТКС. Также видит номер карты, и срок её действия. Макдональдс только вот не засветился в транзакциях, шифруется видимо)
потому что ее сделали по Paypass, а это не логируется
да и список истории транзакций ограничен 10-ю
"то же самое произошло и с картой от «Яндекс.Денег»." А разве у них не ТКС банк делает карты?
ТКС только эмитент карт. Карты печатаются на заводе ООО "Алиот" но чипы на всех картах разных производителей, Тоесть кто какие закупит те и будут использованы
Я вот одного не понимаю. NFC крут только если владельцу телефона позволяют принять или отказаться от транзакции, сумма которой высвечивается у него на телефоне. Такую услугу ни один банк не предоставляет. Чем NFC в телефону удобнее карты если терминал может снять с тебя любую сумму без подтверждения?
Да это не по теме статьи. Это я так о наболевшем...
банк Авангард: показал только общую инфу о карте.
Видимо показывает только транзакции какого-то типа.
С картой ТКС от 07.14 не работет ни в какую
ТКС среагировал и предложил бесплатно перевыпустить карту. Хотя я лично проблема не вижу.
Apple Pay все еще говно?
при чем здесь apple pay?
Теперь на центральных ветках метро будут специально обученные люди которые будут терется о ваши карманы дабы спи**ить 50 рублей. Классические щепачи - это уже не в тренде
Комментарий удален модератором
Комментарий удален модератором