A finales de agosto de 2020, investigadores de seguridad del Instituto Federal Suizo de Tecnología de Zúrich (ETH Zúrich) habían demostrado que cualquier tarjeta Visa podía ser pirateada realizando transacciones a través de NFC y utilizando un dispositivo como Man in the Middle (Mitm). Este ataque hace que el terminal de pago crea que está recibiendo una transacción de una tarjeta virtual autenticada por la aplicación de un teléfono inteligente (Apple Pay o Google Pay por ejemplo) aunque sea una tarjeta física. Resultado: el terminal de pago no solicita un código PIN y el límite de pago es el de transacciones autenticadas (potencialmente varios miles de euros).
Este ataque no funciona como ocurre con las tarjetas Mastercard, cuyo protocolo tiene más salvaguardas criptográficas. Pero los investigadores acaban de encontrar un subterfugio que puede hacerlo de todos modos. De hecho, al inicio de la transacción, obligan al terminal de pago a ejecutar el modo transaccional de las tarjetas Visa, enviando un parámetro AID (Application Identifier) falso. Esto es posible porque este parámetro se envía desde la tarjeta sin autenticación y, por lo tanto, puede ser interceptado y modificado sobre la marcha.
Ataque verificado a tarjetas Mastercard y Maestro
Una vez activado el modo Visa, los hackers solo tienen que realizar el ataque anterior, adaptando los intercambios entre la tarjeta y el terminal de pago para que se ciña al protocolo Visa. Los investigadores han experimentado con éxito este ataque en dos tarjetas Mastercard y dos tarjetas Maestro. Lo sorprendente es que se acepta el pago, mientras que el terminal solicita una confirmación en línea del proveedor de la tarjeta. Los investigadores concluyen que el parámetro AID no se verifica durante este procedimiento de confirmación. Debido a esta zona gris, no saben si el ataque realmente funciona con todos los terminales de pago, cuya implementación del estándar EMV en ocasiones puede diferir. Los investigadores demostraron su ataque a través de un video de YouTube.
La buena noticia es que la red Mastercard, alertada por los investigadores, ha implementado controles adicionales en su red para detectar AID falsos. Y funciona: los investigadores descubrieron que su ataque ya no funcionaba. Estamos tranquilos.
Fuente: ETH Zúrich
Source: Sécurité – 01net by www.01net.com.
*The article has been translated based on the content of Sécurité – 01net by www.01net.com. If there is any problem regarding the content, copyright, please leave a report below the article. We will try to process as quickly as possible to protect the rights of the author. Thank you very much!
*We just want readers to access information more quickly and easily with other multilingual content, instead of information only available in a certain language.
*We always respect the copyright of the content of the author and always include the original link of the source article.If the author disagrees, just leave the report below the article, the article will be edited or deleted at the request of the author. Thanks very much! Best regards!
