Čipové karty v nebezpečí, jejich ochrana je překonaná

Máte v peněžence novou čipovou platební kartu? Tak to se mějte na pozoru, už totiž tak bezpečná není. Britové z ní dokážou vycucnout peníze, aniž by tušili, jaký je její skutečný PIN.

Před pár lety došlo k výměně magnetických platebních karet za nový systém vybavený čipem s bezpečnostním protokolem EMV. Je to přesně ten typ, který dnes máte v peněžence a díky kterému se už zpravidla na pokladně nemusíte podepisovat a vystačíte si se čtyřmístným PIN číslem. Při platbě čip na kartě autorizuje PIN a předá dál zabezpečenou zprávu, že transakce proběhla v pořádku.

Systém EMV se dnes používá v Evropě, byl představen v Kanadě a banky tlačí na jeho zavedení také ve Spojených státech. EMV a čipové platební karty však mají jeden závažný problém – tým inženýrů z University of Cambridge totiž přišel na to, že EMV protokol lze docela snadno oblafnout.

Steven Murdoch, Saar Drimer, Ross Anderson a Mike Bond objevili chybu v systému, díky které mohou zcela obejít EMV protokol a platebnímu terminálu předat autorizovanou zprávu, že platba proběhla v pořádku.

Klepněte pro větší obrázek
Speciální zařízení dokáže autorizovat platbu z ukradené karty, aniž by záškodník znal PIN
Zařízení je nyní velké, už se ale pracuje na jeho miniaturizaci

Co to znamená v praxi? Představte si, že vám někdo zcizí kartu. Za běžných okolností bude potřebovat PIN kód, se znalostí inženýrů z Cambridge ji ale prostě vsune do své vlastní čtečky, která je propojená s laptopem a do skutečného terminálu, třeba bankomatu, vloží speciální podvodnou kartu, skrze kterou pouze vyšle falešnou zprávu o provedené platbě. Speciální program hackne program na čipu, vytvoří digitální podpis a skrze podvodnou kartu vše dokoná.

Klepněte pro větší obrázek
Ačkoliv byl zadán špatný PIN, terminál platbu bez problému přijal 

A co je nejhorší? Takové zařízení již dnes existuje, nejedná se tedy o teorii rozepsanou na několika stranách bílého papíru. Zatím je sice velké, tým inženýrů ale již pracuje na miniaturní kapesní verzi. A jak pánové dodali pro pořad BBC Newsnight, zloději karet mají po ruce mnohem více prostředků než oni, podobnou chytrou krabičku by tedy vyrobili prakticky bez problémů. Z bezpečnostních důvodů samozřejmě nezveřejnili detailní princip útoku na program na čipu, více podrobností ale najdete v přiložené několikastránkové PDF studii, ze které pochází i fotografie v článku.

Témata článku: Software, Hardware, Byznys, Bezpečnost, Čipy, Cambridge, Ross, Bond

70 komentářů

Nejnovější komentáře

  • S474N 16. 2. 2010 8:26:14
    A kde berete jistotu, ze se prepocitava vyhradne z PINu?
  • karlos00x 15. 2. 2010 22:11:41
    zivotnost takove obsluhy max nekolik dni.
  • Keff 15. 2. 2010 20:10:58
    Hash 4místného čísla = asi tak 0.001s zdržení...
Určitě si přečtěte

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

Původní Starcraft: Brood War je nyní zdarma. Konec práce! Jde se pařit

** Legendární hra Starcraft je nyní k dispozici zdarma ** Chystá se i nová remasterovaná verze s hezčí grafikou

19.  4.  2017 | Jakub Čížek | 25

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

Brno otevřelo největší českou dílnu pro bastlíře. Kladívka, vrtačky, 3D tiskárny, laserové řezačky. Je tu vše

** Máte nápad, ale chybí vám stroje a pořádná dílna? ** Chcete postavit ptačí budku, nebo krabičku pro Arduino? ** Brno otevřelo svůj FabLab – laboratoř pro bastlíře

19.  4.  2017 | Jakub Čížek | 31

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

Český Google Překladač začal používat umělou inteligenci. Konec „drahoušků zákazníků“

** Google ve svém překladači roky používal statistickou technologii ** Nyní zavádí strojové učení a neuronové sítě ** Rozdíl by měl být zvláště na větších textech patrný už nyní

20.  4.  2017 | Jakub Čížek | 31


Aktuální číslo časopisu Computer

První test AMD Ryzen

Velké testy: 22 powerbank a 8 bezdrátových setů

Radíme s koupí Wi-Fi routeru

Co dokáží inteligentní domy?