Устройство собирает только ту инфу которая отдаёт сама EMV-карта. Данных достаточных для проведения EMV-операции таким способом не добыть.
Ту информацию что удастся считать(номер карты, срок действия) возможно будет использовать в тех интернет-магазинах, где нет проверки CVC/CVV (такие ещё остались). Абсолютное большинство таких операций можно будет оспорить и вернуть деньги.
А торрентом Вы тексты песен и субтитры качаете да? Так вышло, что человеку проще работать с графическим представлением информации. Да, можно пересилить себя и научиться делать всё в консоли, но профит уж очень сомнительный.
Никаких, эксперт скачает с помощью приложения запрещенный контент и в своём заключении напишет что приложение способствует распространению пиратства. Суд будет работать на основании экспертизы.
Только не 0100(авторизация требующая последующего клиринга) а 0200(фин. сообщение влияющее на баланс счета мгновенно).
Банкомат работает безо всяких авторизаций. Там принцип немного другой SMS (Single message system). Тогда как 0100 это часть DMS.
И первый нолик в сообщении — это версия протокола. В вашем примере ISO 8583-87 года. Сейчас более популярна всё-таки вторая и третьи ревизии 93 и 2003 годов соответственно.
По сути: если доля ложных срабатываний этой кхм… защиты будет сведена к минимуму то нововведение не такое уж и плохое. Тем более что эппл-пей действительно должен быть безопасен чтобы конкурировать с традиционными платежными способами.
У отечественных производителей сейчас есть ресурс — гос. поддержка, но как они его используют мы все знаем. Для того чтобы исправить ситуацию нужно начать правильно распоряжаться хотя бы этими деньгами, а не просить дополнительных денег такими способами.
Про ZVT, если вдруг кто не прочел в первоисточнике, объясню: Торговая точка использует связку кассовый компьютер + терминал для приёма карт.
В древности терминал подключался к кассе через Serial-порт. Теперь же появилась возможность осуществлять тоже соединение через Ethernet. Протокол, который не был предназначен для сети, при этом никто не менял. И если раньше man-in-the-middle в отдельно взятом последовательном кабеле был невозможен(всякое шпионское опустим) то теперь теоретически злоумышленник может встроить себя в сеть магазина, получать и даже модифицировать весь трафик между терминалом и кассой.
Про пин-код который никогда не покидает терминал в открытом виде, но всё же получается узнать при помощи ZVT. На терминале можно вводить не только пин-код но так же сумму и прочие значение. Протокол может запросить ввод такого значение при этом отобразив произвольное приглашение. Теоретически можно попросить терминал о вводе 4-х значного числа и при этом отобразить приглашение с текстом Enter PIN. Такой ввод терминалом не будет восприниматься как пин-код. Пользователь введет заветные цифры (правда немаскированно) и терминал отправит ввод злоумышленнику.
Современные терминалы кстати имеют защиту от произвольного приглашения к вводу. Как правила все приглашения захардкожены и специальной командой (условно ShowPromtNumbe(int num)) можно отобразить одно из приглашений находящихся в памяти терминала. Таким образом подобная схема в текущих реалиях возможно только на очень старом и давно не обновляемом железе.
Для того чтобы подобных злодеяний было меньше, в 2006 году приняли стандарт PCI DSS, который достаточно жестко регламентирует многие аспекты платежной инфраструктуры и сопутствующих вещей.
В диспесере одной неназванной фирмы с которым я работал защита была реализованная криптохешем (МАК). Команда на выдачу наличных должна была быть дополнена 4 байтами этой самой подписи. Ключи для генерации подписи производитель не предоставлял. Зато предоставлял библиотеку с одной единственной функцией внутри: unsigned int zGeneRateMac(char*data, int length). Разумеется таким образом абсолютно любое приложение могло иметь возможность к подписи этих команд. Вот она и безопасность. После некоторого времени проведенного с IDA у меня был алгоритм генерации MAC и приватный ключ «спрятанный в этой же библиотеке». Само интересное что этот ключ универсален и подходит для всей линейки устройств этого производителя (диспенсеры и рециклеры). О проблеме я сообщал в поддержку, но не уверен что это помогло.
Ту информацию что удастся считать(номер карты, срок действия) возможно будет использовать в тех интернет-магазинах, где нет проверки CVC/CVV (такие ещё остались). Абсолютное большинство таких операций можно будет оспорить и вернуть деньги.
OW в Сбере вот точно.
Банкомат работает безо всяких авторизаций. Там принцип немного другой SMS (Single message system). Тогда как 0100 это часть DMS.
И первый нолик в сообщении — это версия протокола. В вашем примере ISO 8583-87 года. Сейчас более популярна всё-таки вторая и третьи ревизии 93 и 2003 годов соответственно.
По сути: если доля ложных срабатываний этой кхм… защиты будет сведена к минимуму то нововведение не такое уж и плохое. Тем более что эппл-пей действительно должен быть безопасен чтобы конкурировать с традиционными платежными способами.
В древности терминал подключался к кассе через Serial-порт. Теперь же появилась возможность осуществлять тоже соединение через Ethernet. Протокол, который не был предназначен для сети, при этом никто не менял. И если раньше man-in-the-middle в отдельно взятом последовательном кабеле был невозможен(всякое шпионское опустим) то теперь теоретически злоумышленник может встроить себя в сеть магазина, получать и даже модифицировать весь трафик между терминалом и кассой.
Про пин-код который никогда не покидает терминал в открытом виде, но всё же получается узнать при помощи ZVT. На терминале можно вводить не только пин-код но так же сумму и прочие значение. Протокол может запросить ввод такого значение при этом отобразив произвольное приглашение. Теоретически можно попросить терминал о вводе 4-х значного числа и при этом отобразить приглашение с текстом Enter PIN. Такой ввод терминалом не будет восприниматься как пин-код. Пользователь введет заветные цифры (правда немаскированно) и терминал отправит ввод злоумышленнику.
Современные терминалы кстати имеют защиту от произвольного приглашения к вводу. Как правила все приглашения захардкожены и специальной командой (условно ShowPromtNumbe(int num)) можно отобразить одно из приглашений находящихся в памяти терминала. Таким образом подобная схема в текущих реалиях возможно только на очень старом и давно не обновляемом железе.
Для того чтобы подобных злодеяний было меньше, в 2006 году приняли стандарт PCI DSS, который достаточно жестко регламентирует многие аспекты платежной инфраструктуры и сопутствующих вещей.
Теоретически спасенные жизни гораздо менее ценны чем жизнь ученого-астронавта с опытом экстремального выживания в условиях враждебной планеты.
Да и если его не спасать то:
1. Больше никто не полетит, потому что: «своих тут бросают»
2. Спасут китайцы или ещё кто и тогда вообще швах.