Představte si, že stojíte ve frontě u pokladny, pandemie je už dávno ta tam, a tak se na vás zezadu tiskne nějaký vetřelec. V kapse kalhot máte peněženku a v ní svoji platební kartu s podporou bezkontaktních plateb.
Náhle zaslechnete tiché pípnutí, ale nevěnujete mu příliš pozornosti. To vám právě vetřelec přiložil svůj mobil k zadnici a přečetl údaje na plastové platební kartě: její číslo a platnost. Samozřejmě bez CVV/CVC.
Nově si to můžete vyzkoušet i v aplikaci EMV Reader od brněnského magistrátu. Mimochodem, funguje skvěle a pochopitelně slouží k něčemu trošku jinému než ke krádeži karetních dat.
Přečtení platební katy s NFC pomocí brněnské čtečky EMV Reader
V Brně totiž můžeme používat platební karty jako identifikátor předplacených kupónů na MHD. A občas je dobré tyto údaje znát, abyste takovou kartu zaregistrovali do systému i z tepla vašeho domova bez potřeby návštěvy přepážky s NFC čtečkou.
Registrace platební karty jako ověřovací metody pro předplacené jízdenky v brněnské MHD. Když potkám revizora, platnost předplacené jízdenky ověří pomocí mé platební karty. Ať už té fyzické, nebo virtuální na mobilu a hodinkách (Apple Pay, Google Pay, Garmin Pay aj.)
Aplikace slouží k přečtení virtuálních karet
Zatímco údaje na klasické platební kartě jsou vyražené na jejím povrchu, horší je to už u těch virtuálních, které se používají, pokud platíte mobilem nebo chytrými hodinkami. Ty skrze NFC nepřenášejí údaje o skutečné zaregistrované platební kartě, ale právě o virtuální kartě, která existuje jen a jen na mobilu a tu skutečnou zastupuje z praktických a bezpečnostních důvodů.
Přečtení virtuální karty na hodinkách s podporou Garmin Pay
Brněnský EMV Reader tedy slouží k tomu, abyste její popisné údaje dokázali snadno přečíst a virtuální platební kartu chytrých hodinek a mobilu mohli zaregistrovat jako ověřovací metodu skrze web.
Karetní údaje jsou pro NFC přijímač to samé jako jakákoliv jiná NFC zpráva
Aplikací jako je EMV Reader existuje celá řada a najdete je i na Play Storu, v tomto případě ale máte jistotu, že se přečtená data na rozdíl od těch dalších s nejistým původem opravdu nikam nezasílají. Přece jen, Brno je docela důvěryhodné město.
Zároveň je to hezká ukázka toho, jak vlastně technologie NFC v praxi funguje. Samotné NFC je jen univerzální přenosová technologie využívající kmitočet 13,56 MHz. Co se přenáší za data, je ale už výhradně otázkou aplikační vrstvy – tedy samotné softwarové čtečky.
Pokud přečteme nějaký běžný NFC tag třeba s textovou zprávou nebo WWW adresou, jedná se o aplikační formát NDEF (NFC Data Exchange Format), kterému rozumí každý telefon s NFC bez potřeby dalšího softwaru.
No, a pokud totožným způsobem přečteme svojí vlastní platební kartu s NFC, jedná se zase o formát EMV/PPSE, tedy Europay, Mastercard, Visa/Proximity Payment System Environment. V obou případech je to ale jen shluk bajtů, k jehož získání nepotřebujeme nic sofistikovaného a nestandardního. Jen dokumentaci, abychom tyto bajty správně interpretovali.
Podobné prográmky jsou zneužitelné, proto asi brněnská aplikace chybí na Play Storu
Platební kartu s NFC, ať už tu fyzickou, nebo virtuální, proto na Androidu přečteme i pomocí dalších generických NFC čteček – třeba NFC TagInfo od NXP, což je jeden z hlavních výrobců NFC čipů na světě. Ten nicméně přímo EMV/PPSE nedekóduje, a tak zobrazí jen surová data. EMV Reader z Brna rovnou ukáže číslo platební karty a také její datum platnosti. Jiné aplikace umějí z odpovědi vytáhnout ještě další užitečné ukazatele třeba o poslední provedení platbě.
TagInfo rozpoznal příchozí NFC zprávu, identifikoval ji jako EMV/PPSE a zobrazil všechny surové bajty. S dokumentací bychom si je mohli všechny projít a dekódovat.
Jelikož je čtení údajů o platební kartě zneužitelné – viz příklad z úvodu, brněnský dopravní podnik se nejspíše ani nepokoušel vystavovat aplikaci na Play Store, kde by ji mohl Google vyhodnotit jako malware, a proto si ji musíte stáhnout a nainstalovat runě jako APK balíček z brněnského serveru..
