Čipové karty v nebezpečí, jejich ochrana je překonaná

Máte v peněžence novou čipovou platební kartu? Tak to se mějte na pozoru, už totiž tak bezpečná není. Britové z ní dokážou vycucnout peníze, aniž by tušili, jaký je její skutečný PIN.
Čipové karty v nebezpečí, jejich ochrana je překonaná

Před pár lety došlo k výměně magnetických platebních karet za nový systém vybavený čipem s bezpečnostním protokolem EMV. Je to přesně ten typ, který dnes máte v peněžence a díky kterému se už zpravidla na pokladně nemusíte podepisovat a vystačíte si se čtyřmístným PIN číslem. Při platbě čip na kartě autorizuje PIN a předá dál zabezpečenou zprávu, že transakce proběhla v pořádku.

Systém EMV se dnes používá v Evropě, byl představen v Kanadě a banky tlačí na jeho zavedení také ve Spojených státech. EMV a čipové platební karty však mají jeden závažný problém – tým inženýrů z University of Cambridge totiž přišel na to, že EMV protokol lze docela snadno oblafnout.

Steven Murdoch, Saar Drimer, Ross Anderson a Mike Bond objevili chybu v systému, díky které mohou zcela obejít EMV protokol a platebnímu terminálu předat autorizovanou zprávu, že platba proběhla v pořádku.

Klepněte pro větší obrázek
Speciální zařízení dokáže autorizovat platbu z ukradené karty, aniž by záškodník znal PIN
Zařízení je nyní velké, už se ale pracuje na jeho miniaturizaci

Co to znamená v praxi? Představte si, že vám někdo zcizí kartu. Za běžných okolností bude potřebovat PIN kód, se znalostí inženýrů z Cambridge ji ale prostě vsune do své vlastní čtečky, která je propojená s laptopem a do skutečného terminálu, třeba bankomatu, vloží speciální podvodnou kartu, skrze kterou pouze vyšle falešnou zprávu o provedené platbě. Speciální program hackne program na čipu, vytvoří digitální podpis a skrze podvodnou kartu vše dokoná.

Klepněte pro větší obrázek
Ačkoliv byl zadán špatný PIN, terminál platbu bez problému přijal 

A co je nejhorší? Takové zařízení již dnes existuje, nejedná se tedy o teorii rozepsanou na několika stranách bílého papíru. Zatím je sice velké, tým inženýrů ale již pracuje na miniaturní kapesní verzi. A jak pánové dodali pro pořad BBC Newsnight, zloději karet mají po ruce mnohem více prostředků než oni, podobnou chytrou krabičku by tedy vyrobili prakticky bez problémů. Z bezpečnostních důvodů samozřejmě nezveřejnili detailní princip útoku na program na čipu, více podrobností ale najdete v přiložené několikastránkové PDF studii, ze které pochází i fotografie v článku.

Diskuze (70) Další článek: Podnikatelem roku je Eduard Kučera, zakladatel Alwil Software

Témata článku: Software, Hardware, Byznys, Bezpečnost, Čipy, Čip, Ross, Cambridge, Speciální systém, Falešná zpráva, Terminál, Bond, Platební karta, Platba, University of Cambridge, Záškodník, Čtyřmístný PIN, Platební peněženka

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší