Ukryte Luki w Systemie Bezdotykowych Płatności – Badania Ujawniają Poważne Zagrożenia
Popularność bezdotykowych płatności, które stały się niemal powszechną praktyką, skrywa za sobą poważne zagrożenia. Nowe badania, przeprowadzone przez Uniwersytet Surrey we współpracy z Uniwersytetem w Birmingham, ujawniają ukryte luki w zabezpieczeniach, które pozwalają na przeprowadzanie nieautoryzowanych i wysokowartościowych transakcji. Naukowcy odkryli, że ciągła rozbudowa systemów płatności EMV, powszechnie stosowanych w 90% transakcji dokonywanych w sklepach na całym świecie, stworzyła nowe możliwości dla oszustów.
Badanie, opublikowane w ramach 34. Konferencji USENIX Security Symposium i które zostanie zaprezentowane na DEFCON 2025 w Bahrajnie w dniach 5–6 listopada, szczegółowo opisuje wady występujące w niektórych typach płatności EMV. Umożliwiają one obejście zabezpieczeń i dokonywanie nielegalnych transakcji o dużych kwotach. EMV to globalny standard, na którym oparte są wszystkie karty debetowe i kredytowe Visa, Mastercard i Europay, które zintegrowane są także z portfelami mobilnymi, takimi jak Apple Pay, Google Pay i Samsung Pay, a także z inteligentnymi zegarkami i innymi urządzeniami noszonymi na ciele.
Skomplikowana Architektura i Nieprzewidziane Konsekwencje
Przez ostatnią dekadę, dostawcy usług płatniczych, sieci kart płatniczych, producenci terminali płatniczych i platformy mobilne, niezależnie od siebie, dodawały kolejne funkcje do standardu EMV. Celem było zwiększenie wygody, spełnienie lokalnych przepisów prawnych, lub wspieranie własnościowych rozwiązań oferowanych przez Google, Apple, czy dostawców terminali POS (punktów sprzedaży). Wśród tych dodatkowych funkcji znajdują się ograniczenia dotyczące działania terminali płatniczych offline (bez dostępu do Internetu lub sieci płatniczej), specjalne procedury dla transportu publicznego pozwalające na szybkie przechodzenie przez bramki bez odblokowywania telefonu, a także regionalne zasady dotyczące wprowadzania numeru PIN przy transakcjach o wyższej wartości.
Niestety, badanie wykazało, że te dodatkowe funkcje, zarówno same w sobie, jak i we wzajemnych interakcjach, mogą prowadzić do słabości i otwierać możliwości przeprowadzania oszustw. Naukowcy z powodzeniem zademonstrowali metody, które pozwalają na oszukanie terminali płatniczych, aby zaakceptowały kartę plastikową, gdy powinny akceptować jedynie płatność z telefonu, lub na dokonanie transakcji powyżej limitu 100 GBP bez weryfikacji PIN-u lub biometrycznej.
Krytyczne Luki w Systemach Offline POS
Szczególnie niepokojące jest odkrycie luk w systemach POS działających w trybie offline, powszechnie stosowanych w sklepach, restauracjach i taksówkach ze względu na ich wygodę. Badanie jest pierwszym, które ujawnia krytyczne słabości występujące konkretnie w tych urządzeniach. W jednym z najbardziej uderzających przykładów, naukowcy zademonstrowali, że offline POS ułatwiają przeprowadzanie oszukańczych płatności kartą Mastercard w sposób, który wykracza poza oczekiwania.
Badanie zwraca uwagę na tzw. "atak free lunch", w którym oszuści mogą odejść z drogimi towarami, podczas gdy handlowcy ponoszą straty, gdy transakcje zostaną później odrzucone. Naukowcy przekazali swoje ustalenia różnym podmiotom w 2024 roku i pomogli w opracowaniu poprawek zgodnych z EMV dla niektórych z najbardziej poważnych luk w zabezpieczeniach.
Współpraca Kluczowa dla Zabezpieczenia Przyszłości Płatności
"Problemy, które znaleźliśmy, nie wynikają z błędów poszczególnych firm, ale z tego, jak system tak złożony jak EMV może rozwijać ukryte słabości, gdy dodaje się nowe funkcje niezależnie od siebie" - wyjaśnia Tom Chothia. "Działając razem, możemy zamknąć te luki i uczynić płatności bezdotykowe bezpieczniejsze dla wszystkich."
Wraz z dynamicznym rozwojem świata płatności bezdotykowych, a także wraz z wprowadzeniem nowych modeli działania w przypadku nowoczesnych systemów POS, badanie to podkreśla pilną potrzebę weryfikacji dodatkowych funkcji płatniczych, zwracając uwagę na ukryte ryzyko, na którym polega tak wielu ludzi na całym świecie. Potrzebna jest lepsza koordynacja działań i ciągła weryfikacja zabezpieczeń, aby zapewnić bezpieczeństwo i zaufanie do systemów płatniczych w przyszłości. Odkrycia te przypominają o konieczności priorytetowego traktowania bezpieczeństwa, nawet kosztem niewielkiego kompromisu w zakresie wygody.