Вы не сталкивались с проблемой передачей данных в base64 через DNS? Проблема бывает в том, что некоторые резолверы не всегда нормально передают кейз букв, в котором был запрошен домен. Например перемешивают строчные и заглавные буквы, www.example.com -> wWw.ExAMplE.Com. В таком случае вся кодировка base64 конечно же сломается.
Проблема решается использованием zbase32, правда эта кодировка позволяет закодировать меньшее количество байт чем base64 в строке той же длины.
Почему вы в своем случае используете base64?
В статье не говорится, что это атака, которую можно провернуть в реальной жизни, воровать с бесконтактных карт людей деньги приложив телефон к кошельку и разбогатеть в один миг. Конечно, в реальной жизни мы столкнемся с тем, что карту у жертвы просто так не скопируешь без её ведома или супер антенны и для больших сумм PIN требуется.
Ответ на вопрос. Сколько бы мы не делали разрывов в счётчиках транзакций на реальных картах (одной из них я даже пользуюсь до сих пор), банк, выпустивший карту и глазом не моргнул, не говоря уже о разбирательствах, звонках и блокировках.
Динамическая составляющая как раз и есть CVC3-код, который генерирует карта, суть атаки в том, что мы можем получить все возможные CVC3-коды для текущего состояния карты и использовать их в онлайн авторизации, до того как картой снова воспользуются.
Те кто делал изначальное исследование данной атаки получали положительный результат c MasterCard-картами (о чем и речь в статье), их транзакции авторизовывались банком в Австрии (хотя они пишут что проводили исследование в «лабораторных условиях», но с реальным терминалом и банком эмитентом).
ARQC/ARPC в атаке мы никак не рассматриваем, это было рассказано для общего понимания EMV.
Здесь речь не о MST, насколько я знаю такая вещь используется в SamsungPay для эмуляции магнитного сигнала. Тут речь об отдельном расширении EMV протокола, здесь не эмулируется магнитный сигнал. Данные о треках на магнитной полосе передаются именно по NFC без использования MST.
Такую транзакцию может валидировать только банк эмитент, поскольку в этой транзакции генерируется CVC3-код, ключ для которого есть только на карте и у банка эмитента. Токенизации тут нет.
Банк присылал СМС, что что-то не так с параметрами платежа. Сколько раз не пытались провести такую транзакцию в разных банках — никто не звонил и не уточнял.
А вообще склонировать чужую карту без ведома владельца довольно проблематично: habr.com/post/422551
Вы не сталкивались с проблемой передачей данных в base64 через DNS? Проблема бывает в том, что некоторые резолверы не всегда нормально передают кейз букв, в котором был запрошен домен. Например перемешивают строчные и заглавные буквы, www.example.com -> wWw.ExAMplE.Com. В таком случае вся кодировка base64 конечно же сломается.
Проблема решается использованием zbase32, правда эта кодировка позволяет закодировать меньшее количество байт чем base64 в строке той же длины.
Почему вы в своем случае используете base64?
В статье не говорится, что это атака, которую можно провернуть в реальной жизни, воровать с бесконтактных карт людей деньги приложив телефон к кошельку и разбогатеть в один миг. Конечно, в реальной жизни мы столкнемся с тем, что карту у жертвы просто так не скопируешь без её ведома или супер антенны и для больших сумм PIN требуется.
Ответ на вопрос. Сколько бы мы не делали разрывов в счётчиках транзакций на реальных картах (одной из них я даже пользуюсь до сих пор), банк, выпустивший карту и глазом не моргнул, не говоря уже о разбирательствах, звонках и блокировках.
Те кто делал изначальное исследование данной атаки получали положительный результат c MasterCard-картами (о чем и речь в статье), их транзакции авторизовывались банком в Австрии (хотя они пишут что проводили исследование в «лабораторных условиях», но с реальным терминалом и банком эмитентом).
ARQC/ARPC в атаке мы никак не рассматриваем, это было рассказано для общего понимания EMV.
За информацию про CVM — спасибо.
Такую транзакцию может валидировать только банк эмитент, поскольку в этой транзакции генерируется CVC3-код, ключ для которого есть только на карте и у банка эмитента. Токенизации тут нет.
А вообще склонировать чужую карту без ведома владельца довольно проблематично:
habr.com/post/422551