«Шапочки из фольги уже недостаточно, пора заворачивать в нее бумажник»

    Недавно мы уже писали про опасности, связанные с использованием беспроводных протоколов и мобильных устройств. Продолжаем тему разговором об NFC. Не будем в этом посте углубляться в теоретические изыскания, а перейдем к конкретной практической реализации. Речь пойдет о приложении Android.Ecardgrabber, которое способно бесконтактно считать номер пластиковой карты, срок ее действия, а также номер банковского счета пользователя. image

    Стандарт ближней связи NFC обеспечивает беспроводный обмен данными на коротком расстоянии (до 4 см). Подобные виды связи сегодня уже используются и в России. В частности, некоторые банки выпустили бесконтактные карты для проезда в метрополитене. Существуют и другие подобные проекты.

    Я уже представляю себе картину: 2050 год, карманный воришка будущего осуществляет мелкую кражу, прикладывая к сумке прохожего мобильный телефон, извлекающий данные кредитки по NFC. Так что, как написал один твитерянин, «шапочки из фольги уже недостаточно, пора заворачивать в нее бумажник».

    Один немецкий исследователь в области безопасности выпустил на сервисе Google Play приложение Android, способное считывать данные ограниченного количества бесконтактных пластиковых карт по радиоинтерфейсу. Бесконтактные пластиковые карты обычно используются для транзакций на суммы менее 10 евро без ввода пин-кода – необходимо просто поднести карту к точке на терминале продаж.
    Приложение Android, зарегистрированное Symantec под именем Android.Ecardgrabber, производит попытку считывания данных с помощью протокола связи NFC. Приложение было размещено на сервисе Google Play 13 июня; до удаления его успело скачать от 100 до 500 пользователей.

    image

    image

    Извлечение информации


    Анализ кода Android.Ecardgrabber показал, что автор совершил попытку извлечения информации из восьми различных систем пластиковых карт.
    По признанию самого автора, приложение было успешно протестировано только с двумя системами пластиковых карт, а разработка кода не доведена до конца.
    Проведено тестирование следующих систем:
    • MasterCard*
    • A European credit card*
    • Visa V Pay**
    • Cirrus**
    • Maestro**
    • Visa Electron**
    • Visa**
    * Автором подтверждён успешный результат;
    ** Не подтверждено, но имеется в коде.

    Приложение может получать следующую информацию:
    • Номер пластиковой карты;
    • Дата начала срока действия карты;
    • Дата окончания срока действия карты;
    • Номер банковского счета.

    Примечание: в коде не обнаружено средств извлечения кода безопасности карты.

    Несмотря на то, что для извлечения данных приложение требует от пользователя установки и поднесения бесконтактной пластиковой карты к телефону на расстояние не более 4 сантиметров, оно ярко иллюстрирует уязвимость этой развивающейся технологии. Несложно представить вирусное приложение, тихо существующее в виде фонового процесса на мобильном устройстве и потихоньку общающееся с вашей бесконтактной пластиковой карточкой в кошельке.
    Стандарт ближней связи NFC – это новая технология, обещающая сделать жизнь проще и интерактивней, однако уже сейчас пользователям стоит задуматься о проблемах безопасности, о которых никогда не нужно забывать.
    Symantec
    Company
    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 54

      +5
      А мы с подругой развлекаемся, когда телефоны подносишь друг другу, они вибрировать начинают.
      Пойду уведу у неё кредитку заодно.
        +88
        А мы с подругой по-другому развлекаемся…
          +3
          Это далеко не весь список развлечений ;)
        +2
        Кредитка в 2050году? мне кажется вы недооцениваете прогресс :)
          +8
          ну после выхода «назад в будущие» многие наверно так же думали про не летающие автомобили в 201Х годах :)
            0
            Спокойно! У нас ещё три года на разработку.
            Правда там уже были портативные термоядерные реакторы.
              –4
              Кстати, 27 июня будущее наступило!
              Был тот самый день, в который переместились Док и Марти в фильме «Назад в будущее»!

              image
                0
                шутка конечно :)
                  +4
                  Не шутка, а подлог.

                  На самом деле персонажи «Назад в будущее» летали в 2015 год.

                  Картинка для эйдетического запоминания:

                  [картинка]
                    0
                    Как вы могли допустить такое ужасное греческое слово в свою речь? Где же русский аналог… простите, экви… простите, замена?
              +16
              Да, прогресс он такой…
                +14
                Мои глаза.
                  0
                  На эту картинку можно смотреть вечно.
                +3
                Алюминиевые футляры для кредиток и даже бумажники из металлизированных ниток в штатах уже продаются.
                  –4
                  «бумажники из металлизированных ниток в штанах» о шии…
                    –2
                    Ладно-ладно, понял всё, исправлюсь)
                    +3
                    Да они и онлайн вовсю продаются. Хорошая вещь:

                    +9
                    Предлагаю новый бизнес — выпускать бумажники и чехлы для смартфонов с внедрённой сеткой (клеткой) Фарадея. Если акцентировать для малограмотного населения как абсолютную защиту денег на карточках, то будут разбирать как горячие пирожки.
                      +4
                      Недавно была статья о том, что без заземления клетка Фарадея — далеко не панацея. Хотя и лучше, чем ничего.
                        0
                        Защити свой бумажник на все 100 — приобретай аксессуар для безопасности бумажника (цепь длиной с метр, чтобы из кармана до асфальта доставала)! Благодаря специально рассчитанной кривизне колец по запатентованной технологии ваши деньги будут в полной безопасности! Доступно в двух цветах — благородный серебристый (люмин) и агрессивный черный (чугуний). Остерегайтесь подделок!
                          0
                          Согласно данным из курса физики за 10 класс напряжённость поля внутри металлической сферы равна нулю. Независимо от того — заземлена сфера или нет. Конечно же, закономерность эта сильно страдает если поверхность не является сферой. Но разве можно остановить лавинообразно развивающийся маркетинг ?)
                            0
                            Всё верно. Только проблема в том, что как только в этой идеальной сфере в вакууме появляется ма-а-аленькая дырочка, эта конструкция начинает описываться совершенно другой моделью.
                              0
                              ( ниже напоминают, что это только для случая электростатики. Школьный стереотип, блин, в очередной раз попался)
                              +1
                              Напряженность электростатического поля равна нулю.
                              Электродинамическое поле (радиоволны) по-прежнему может проникать внутрь.
                          0
                          Осталось написать в чем тут опасность, иначе можно еще заблочить приложения фотоаппарата.
                          Ведь, о ужас, эти данные можно получить сфотографировав обычную карту, причем с расстояния более 4 см.
                          А чтобы списать деньги, нужен авторизованный терминал, а не номер карты.

                          P.S. Фольга от фотоаппарата тоже помогает :-D
                            0
                            Телефоны умеют имитировать NFC метки, то есть преступник может использовать свой телефон как карточку. Но по идее, это ему даст максимум 1-2 транзакции по 10 евро до того момента, как владелец ее заблокирует.
                              –1
                              Статья то не про это. Совсем не про это.
                              По фото тоже можно иметировать, но это совсем другая история.
                              С телефоном, имитирующем чужую карту, нужно будет подойти к кассиру и сняться на камеру видеонаблюдения.
                                0
                                Статья — попытка нагнетания. На самом деле вся эта информация необходима для того, чтобы PayPass работал. У Google же есть приложение Google Wallet, которое позволяет имитировать карты. Позволяет сканировать карту и расплачиваться как бы ей на этих терминалах, что поддерживают PayPass.
                                +1
                                Сложно написать приложение, которое будет принимать данные о карте в любом формате (NFC, фото, «ручки», голос) и эмулировать NFC карту?
                                  +1
                                  Не сложно. API хоть и «закрыто», но уже есть в инете хаки, позволяющие написать приложение, которое будет имитировать NFC метку с заданными параметрами.
                              0
                              карманный воришка будущего осуществляет мелкую кражу, прикладывая к сумке прохожего мобильный телефон
                              … искусно засовывая тончайшую карточную версию телефона под фольгу, приподняв её ногтем.
                                +5
                                Надрезая фольгу заточенным краем своего телефона :)
                                –1
                                А можете скинуть точную ссылку на приложение? Что то не смог его найти на маркете.
                                И проверил свой телефон, из всех карточек смог прочитать теги только на метрошной. Ни одну кредитку телефон даже не увидел, и пропуска рабочие тоже. Всем отделом тестировали. Что-то мы не так понимаем про NFC?
                                  +2
                                  Обычные банковские карты для вас в данном случае эквивалентны туалетному рулону — старые карты не имеют антенного контура.
                                    0
                                    А чип разве не то, что надо? Я проверял чипованные карты. Правда мы тут коллегиально решили, что, наверное, для них нужна какая-то контактная поверхность, как у симки.

                                    Но тогда непонятно, какие карты проверялись вот в этом абзаце. Как понять, какая карта годится, а какая нет?

                                    Проведено тестирование следующих систем:
                                    • MasterCard*
                                    • A European credit card*
                                    • Visa V Pay**
                                    • Cirrus**
                                    • Maestro**
                                    • Visa Electron**
                                    • Visa**
                                    * Автором подтверждён успешный результат;
                                    ** Не подтверждено, но имеется в коде.
                                      +2
                                      Нет, одного чипа мало, нужно, чтобы еще была антенна для беспроводной работы. Примеры — Visa payWave и MasterCard PayPass, наверняка в других платежных системах есть аналоги. Обычная чиповая карта работает только при присоединении к ее контактной площадке.
                                  0
                                  Платёжная система моей мечты (вдохновлено множеством фантастических рассказов):

                                  У вас есть специальное устройство, которая соединяется с банком и имеет электронные ключи для доступа к счету. Пусть это будет КПК. Также рассматривается вариант соединение с банком через соединение в магазине.

                                  В случае необходимости оплатить, вам, либо по IrDA, либо по какому-то визуальном коду с помощью видеокамеры, на устройство передают инвойс. На экране отображается информация к платежу и предлагается сделать выбор: оплачивать или нет.
                                  Вы подтверждаете платёж, устройство отправляет данные на сервер, магазин получает также с какого-то сервера о том что платёж завершен.
                                    0
                                    да уж, кибернетикааа ))) кредитка ровно то же самое делает, только без батареек))
                                      +2
                                      Кредитка не показывает остаток в себе. ;-)
                                      А так, вон, действительно можно QR-код с URI платежа.
                                      Правда это, с другой стороны, потребует подтверждения успешной транзакции в глазах продавца. То есть он будет ждать, пока на его КПК не придёт СМС о поступлении средств.
                                      В общем нал или кредитка в этом разе побыстрее сработают.

                                      Вообще, сейчас маячит опасность не вторичности человека к бумажкам, а вторичности человека к его гаджетам. Нет гаджета — чел почти умер. ;-)
                                        0
                                        И люди реально поклонятся тому зверю, который первым предложит нанести начертание на руку или на чело, чтобы не потерялося.
                                          0
                                          Вы преувеличиваете. В действительности электроника оптимизирует нашу жизнедеятельность, но чаще это просто развлечение. Любая опасность с первого взгляда всегда преувеличена, впрочем ровно как и преуменьшена со взгляда второго.
                                        0
                                        Должны быть ещё платежи p2p и возможность оплатить/получить без сервера (до ближайшей синхронизации с ним).
                                        +1
                                        Все становится много серьезней: www.cl.cam.ac.uk/research/security/banking/nopin/
                                          0
                                          Пин не должен храниться на карте. Либо я чего-то не понимаю.
                                            0
                                            Недопонимаете. PIN не важен, подделывается команда «PIN is correct» при наборе любого. Смотрите здесь: www.youtube.com/watch?v=JPAX32lgkrw
                                              0
                                              И я недопонимаю, транзакцию разрешает или отклоняет процессинг банка, а не карта или терминал.
                                                0
                                                как насчет оффлайн терминалов?
                                                0
                                                Получается, что обмен данными между терминалом и чипом карты нешифрован? Это ж double facepalm какой-то.

                                                Ну, остаётся старый добрый метод — ставить лимиты расходов в интернет-банкинге и держать на картсчёте минимальные суммы.
                                            0
                                            А почему программу-то удалили?
                                              0
                                              Я просто не смог ее найти. Думаете, удалили? Там, кстати навалом каких то прог, которые требуют разрешения на доступ к интернету и с кучей комментов, что это scam.
                                              0
                                              Статья была бы более полной, если бы автор привел ссылку на файл программы (apk).

                                              Мои поиски привели сюда — похоже, это как раз исходник программы (поправьте, если ошибаюсь). Теперь осталось, чтобы разбирающиеся выложили скомпилированный файл или привели инструкцию, как это делать.

                                                0
                                                На делае радиус считывание меньше, к тому же антенны надо поместить в одной плоскосить и совместить их оси. К пому же даже сквозь бумажник уже очень затруднительно считывает, даже если ровно приложить. Так что, думаю, паника напрасна. В крайнем случае — фольгу в бумажник, 1 слой.
                                                  0
                                                  А почему не ввели подтверждение от юзера на выполнение операции? То есть, вот какое-то внешнее устройство пытается что-то сделать, а ваш аппарат запрашивает «Устройство номер 2345 запрашивает ваши данные, вы согласны их ему отдать? Нет, да, только на один раз».
                                                    0
                                                    Тут речь про кредитную карту. А телефоны да спрашивают. И там чуток по другому, как я пробовал.

                                                    Выбираешь в списке контактов, нужный подносишь к другому телефону с NFC. Окошко нажмите что бы отправить.

                                                  Only users with full accounts can post comments. Log in, please.