Čipové karty se potýkají s vážnou bezpečnostní chybou
V zabezpečení platebních karet s čipem je vážná trhlina. Umožňuje zneužít chyby v komunikačním protokolu mezi kartou a platebním terminálem, a přesvědčit tak přístroj, který transakci ověřuje, že v podstatě jakýkoliv PIN je správný.
“Za určitých okolností je při platbě čipovou platební kartou možné oklamat zařízení, které kartu přijímá, v daném okamžiku tak, aby akceptovalo libovolnou hodnotu PIN bez ohledu na to, jaká hodnota je správná,“ vysvětluje princip zneužití chyby bezpečnostní specialista Tomáš Rosa z Raiffeisenbank.
O problém s bezpečností platebních karet se zajímal redaktor Radiožurnálu Martin Drtina
Na mezeru v zabezpečení nepřišel sám. Objev letos v únoru zveřejnil profesor Steven Murdoch z univerzity v Cambridge.
Tomáš Rosa ale jeho poznatky dále rozšířil a otestoval v českých podmínkách. A byl téměř stoprocentně úspěšný.
Upravený čip karet vydávaných všemi českými bankami ochotně autorizoval všechny transakce s jakýmkoliv PINem. Pouze jediná testovaná karta, vydána zahraniční bankou, se útoku ubránila.
Zařízení za pár piv
Poměrně alarmující je fakt, že funkční zařízení pro tento typ podvodu zvládne sestavit kdekdo. „Troufnu si říct, že stačí znalosti na úrovni zkušeného radioamatéra-středoškoláka,“ podotkl Rosa.
A ani finančně zařízení rozhodně nikoho nezruinuje. „Myslím, že si ho může dopřát každý student, který si odpustí pár piv v hospodě,“ dodal bezpečnostní specialista.
Banky hledají obranu
Podle Tomáše Rosy banky o problému vědí a hledají proti němu obranu. Útěchy pro všechny držitele karet má dvě: Zaprvé banky jsou schopné útoky zpětně odhalit a při reklamaci určit, jestli při platbě byl zadáván správný PIN.
A zadruhé, banky mají před hackery drobný náskok. “Zatím podle mně známých analýz nebyl pokus o takovýto útok vykonán, alespoň ne, co se týče zpracování karet na území České republiky,“ potvrzuje Rosa.
Čipové karty obecně patří oproti těm jen s magnetickým proužkem k bezpečnějším. I tak bychom je ale při placení neměli nikdy pouštět z dohledu.