{"id":1561,"date":"2015-02-28T19:32:37","date_gmt":"2015-02-28T19:32:37","guid":{"rendered":"http:\/\/nethemba.com\/cs\/update-bezpecnostna-analyza-platobnych-nfc-kariet\/"},"modified":"2015-02-28T19:32:37","modified_gmt":"2015-02-28T19:32:37","slug":"update-bezpecnostna-analyza-platobnych-nfc-kariet","status":"publish","type":"post","link":"https:\/\/nethemba.com\/cs\/update-bezpecnostna-analyza-platobnych-nfc-kariet\/","title":{"rendered":"UPDATE: Bezpe\u010dnostn\u00e1 anal\u00fdza platobn\u00fdch NFC kariet"},"content":{"rendered":"

Zhrnutie<\/strong><\/h1>\n

Bezkontaktn\u00e9 platobn\u00e9 karty VISA (payWave), \u010di Mastercard (PayPass) patria na Slovensku medzi najpopul\u00e1rnej\u0161ie – preferuje ich viac ako polovica \u013eud\u00ed (56%)<\/a>.<\/p>\n

V apr\u00edli 2012 bola na konferencii Hackito Ergo Sum v Par\u00ed\u017ei publikovan\u00e1 prezent\u00e1cia Hacking the NFC credit cards for fun and profit<\/a>, kde bolo prv\u00fdkr\u00e1t pop\u00edsan\u00e9, \u017ee je technicky mo\u017en\u00e9 plne anonymne a bez autentifik\u00e1cie z\u00edska\u0165 na dia\u013eku ve\u013ek\u00e9 mno\u017estvo citliv\u00fdch inform\u00e1ci\u00ed a n\u00e1sledne zneu\u017ei\u0165. Medzi tak\u00e9to inform\u00e1cie patr\u00ed napr\u00edklad zoznam v\u0161etk\u00fdch realizovan\u00fdch platobn\u00fdch transakci\u00ed (platby v POS termin\u00e1loch, v\u00fdbery z bankomatov).<\/p>\n

Ked\u017ee ide o takmer 3 roky star\u00e9 inform\u00e1cie, rozhodli sme sa realizova\u0165 bezpe\u010dnostn\u00fa anal\u00fdzu platobn\u00fdch NFC kariet v Slovenskom prostred\u00ed s cie\u013eom zisti\u0165, \u010di vydavatelia kariet tieto odhalenia reflektovali a za\u010dali u\u017e vyd\u00e1va\u0165 dostato\u010dne bezpe\u010dn\u00e9 platobn\u00e9 NFC karty. V\u00fdsledok na\u0161ej anal\u00fdzy je alarmuj\u00faci – v\u00e4\u010d\u0161ina platobn\u00fdch NFC kariet na Slovensku uklad\u00e1 st\u00e1le mno\u017estvo citliv\u00fdch inform\u00e1ci\u00ed.<\/p>\n

\"\"<\/p>\n

Tieto citliv\u00e9 inform\u00e1cie je mo\u017en\u00e9 na\u010d\u00edta\u0165 \u013eubovo\u013en\u00fdm predajcom, ktor\u00fd disponuje NFC POS termin\u00e1lom alebo bankou, ktorej bankomaty dok\u00e1\u017eu \u010d\u00edta\u0165 bezkontaktn\u00e9 NFC karty, pr\u00edpadne n\u00e1hodn\u00fdm \u00fato\u010dn\u00edkom, ktor\u00fd z\u00edska fyzick\u00fd pr\u00edstup k zranite\u013enej platobnej NFC karte. N\u00e1sledne je mo\u017en\u00e9 uveden\u00e9 inform\u00e1cie zneu\u017ei\u0165 na z\u00edskanie nakupovacieho profilu vlastn\u00edka karty, identifik\u00e1ciu kraj\u00edn (na z\u00e1klade pou\u017eitej meny), ktor\u00e9 vlastn\u00edk karty nav\u0161t\u00edvil a kde dan\u00fa kartu pou\u017e\u00edval, odhadnutie jeho solventnosti a na z\u00e1klade toho napr\u00edklad cielen\u00fd marketing. Podobne je mo\u017en\u00e9 kartu po na\u010d\u00edtan\u00ed fyzicky zablokova\u0165 (zaslanie 3x chybn\u00e9ho PIN k\u00f3du).<\/p>\n

Pou\u017eit\u00e9 n\u00e1stroje<\/strong><\/h1>\n

NFC \u00fadaje ulo\u017een\u00e9 na samotnej bezkontaktnej platobnej karte id\u00fa na\u010d\u00edta\u0165 \u013eubovo\u013enou NFC \u010d\u00edta\u010dkou podporuj\u00facou protokol ISO14443a pracuj\u00facou na frekvencii 13.56 Mhz. V na\u0161om pr\u00edpade sme pou\u017eili \u0161tandardn\u00e9 smartf\u00f3ny a tablety s podporou NFC a \u0161pecializovan\u00e9 NFC \u010d\u00edta\u010dky touchatag<\/a>. Ako aplik\u00e1ciu sme pou\u017eili Banking card reader NFC (EMV)<\/a> dostupn\u00fa priamo z Google Play. Uveden\u00e1 aplik\u00e1cia nedok\u00e1zala niektor\u00e9 inform\u00e1cie (ako vlastn\u00edka karty) na\u010d\u00edta\u0165. Tie bolo mo\u017en\u00e9 na\u010d\u00edta\u0165 napr\u00edklad aplik\u00e1ciou NFC millionare<\/a>, demon\u0161tra\u010dn\u00e9 video k dispoz\u00edcii tu<\/a>, kedy je to mo\u017en\u00e9 realizova\u0165 skuto\u010dne nen\u00e1padne.<\/p>\n

\"\"\"\"<\/p>\n

Maxim\u00e1lna vzdialenos\u0165<\/strong><\/h1>\n

\u010c\u00edtanie kariet bolo realizovan\u00e9 bez externej NFC ant\u00e9ny zo vzdialenosti do 4 centimetrov. NFC \u0161tandard umo\u017e\u0148uje t\u00fato vzdialenos\u0165 nav\u00fd\u0161i\u0165 a\u017e do vzdialenosti 20 centimetrov<\/a>.<\/p>\n

Pod\u013ea prezent\u00e1cie „Hacking the NFC credit cards for fun and debit<\/a>“ (slajd 21) je mo\u017en\u00e9 pomocou externej ant\u00e9ny dosah \u010d\u00edtania zosil\u0148ova\u010dom (za 2000 EUR) a ant\u00e9nou (za 1000 EUR) zv\u00fd\u0161i\u0165 a\u017e do vzdialenosti 1.5 metra. Pr\u00edpadne pas\u00edvnym sniffovan\u00edm a\u017e do vzdialenosti 15 metrov pou\u017eit\u00edm r\u00e1dio prij\u00edma\u010da (napr\u00edklad USRP) so \u0161tandardnou teleskopickou ant\u00e9nou.<\/p>\n

Video ako je mo\u017en\u00e9 NFC platobn\u00e9 karty elegantne a jednoducho na\u010d\u00edta\u0165.<\/p>\n

\n
<\/div>\n
\n