Poważna luka w bezpieczeństwie kart zbliżeniowych?

Tym razem zabezpieczenia kart Visa poddali próbie badacze z Uniwersytetu Newcastle. Jak donosi niebezpiecznik.pl, okazało się, że zbliżeniowe karty Visa nie są tak bezpieczne, jakbyśmy wszyscy tego chcieli.

Badacze odkryli kolejną lukę w ochronie "zbliżeniówek". Ustalili oni, że nie trzeba znać kodu PIN, by zwiększyć limit transakcji wykonywanych tą metodą. Testy wykazały, że wystarczy zmienić walutę, by móc przeprowadzić operację na dowolną kwotę do 999 999 w zmienionym środku płatniczym.

Wystarczy, że złodziej z terminalem, którego funkcję może pełnić smartfon, ma dostęp do karty - czyli jest wystarczająco blisko, by uaktywnił się chip zbliżeniowy. W scenariuszu, o którym mówili badacze, transakcję przeprowadzano offline, by dopiero później przekazać ją do centrum autoryzacyjnego.

Jak słusznie zwraca uwagę serwis, nabicie transakcji na terminalu nie oznacza jeszcze jej przeprowadzenia. Po przejściu do trybu online autoryzacja może się nie powieść. Nie wiadomo, czy wydawane w Polsce karty są podatne na ten typ ataku.

Szczegóły swojego eksperymentu naukowcy podadzą dopiero w najbliższych dniach. Wtedy też będzie dokładnie wiadomo, jak wyglądało ominięcie zabezpieczeń.

Do efektu pracy badaczy z Uniwersytetu Newcastle odniosła się Visa. Oświadczenie wydała także Brytyjska Organizacja Kart Płatniczych (UK Cards Association). - Będzie bardzo trudno dokonać tego typu operacji poza laboratorium - cytuje wypowiedź rzecznika Visa Europe brytyjski "Daily Mail".

- Tego typu operacje mogą być możliwe w laboratorium, ale nie podejmowano takich prób w realnym życiu i nikt nie stracił w ich wyniku pieniędzy - brzmi oświadczenie UK Cards Association).

Faktem jest, że eksperyment naukowców wykorzystał znaną cechę płatności zbliżeniowych, czyli możliwość dokonywania transakcji offline. Jednak trudno stwierdzić, czy kradzież pieniędzy w ten sposób byłaby praktycznie możliwa.