Исследователи воспользовались тележкой из супермаркета для NFC-кражи платёжных данных

26.11.2013 | 11:02 Экономика

Спрятав антенну в корзине, исследователи протестировали возможность кражи конфиденциальных данных клиентов  бесконтактных платежей NFC, и получили «хорошие результаты».

Используя тележку из супермаркета в качестве антенны, исследователи в области безопасности получили конфиденциальные данные бесконтактных платежных карт, и пришли к выводу, что устройство для беспроводной кражи можно легко спрятать в рюкзаке.

В недавно опубликованной работе, под названием «Перехват данных NFC-платежей: количественный анализ», исследователи оценили удобство и процент успеха перехвата данных транзакций бесконтактных платежей.

В частности, они сделали легко скрываемую антенну, используя недорогую электронику.
Исследователи объяснили, что рамочная антенна NFC использовалась для эмуляции передачи ISO 14443.

Для перехвата использовалась тележка из супермаркета, которая была модифицирована и использовалась в качестве аналога индуктивной рамочной антенны.

Несмотря на широкое принятие в Европе и Великобритании, исследователи обнаружили, что бесконтактные платежи являются более уязвимыми, чем считалось ранее.

Взлом передачи NFC-платежа и тайный скимминг, ретрансляция или перехват передачи конфиденциальной информации клиента не являются новинкой; исследователи сделали эти три типа уязвимостей общеизвестными ещё в 2008 году.

Тем не менее, насколько это легко и надежно, не было известно до сих пор. Четыре исследователя в области безопасности из Университета Суррея проверили шансы успеха, расстояние и многое другое, используя дешёвые электронные компоненты, купленные в  магазине.

 
Если злоумышленник использует свое снаряжение для  кражи данных кредитных карт, для него было бы просто стать в очередь с тележкой и ждать, пока жертва заплатит за свои покупки.

Чего не хватало, это практических результатов, показывающих, насколько надежным может быть перехват, сколько из переданной последовательности может быть восстановлено в результате перехвата с различных расстояний.

Измерения часто опирались на дорогое или громоздкое оборудование, которое непросто воспроизвести в портативной системе. В нашей работе, мы определили, насколько надежно информация от устройств, использующих ISO 14443, может быть восстановлена оператором перехвата, таким образом, чтобы её можно было бы использовать для получения конфиденциальной информации о жертве, используя скрытую антенну и недорогую  электронику.

Особое внимание было уделено частоте появления ошибок кадра (FER), поскольку, чтобы восстановить полезную информацию, которая может привести к ущербу для финансовой безопасности жертвы или её приватности, данные должны быть восстановлены в форме и структуре, в которой они были первоначально переданы.

Они обнаружили, что их установка приносит «последовательно хорошие результаты» и «хорошо зарекомендовала себя на многих расстояниях».

В заключении они написали:

• В зависимости от силы магнитного поля, расстояние перехвата может быть в пределах 20-90см в экранированном окружении. Такая среда не является нереальной, поскольку подобные условия можно найти на станции метро.
• Вся наша работа была проделана с помощью недорогой электроники с полок магазина наряду с картой сбора данных (DAQ card).
• Эта карта стоит £1500, но в системе, предназначенной для развертывания, она может быть заменена на значительно менее дорогую ППВМ-систему (Field-Programmable Gate Array, FPGA)  или DAQ на основе ноутбука.
• Злоумышленник может собрать приемник за небольшие деньги и легко спрятать его в рюкзаке.
• В дополнение к этому, за счет использования гауссовой фильтрации и вычисления дисперсии  в программном обеспечении, злоумышленник может добиться устойчивой кадровой синхронизации. Мы показали, что хорошо подобранная пара фиксированных параметров работает устойчиво, независимо от расстояния перехвата или силы магнитного поля и зависит только от характеристик перехватывающей антенны.
• Следующим в планах исследователей эксперимент со смартфоном, использующим NFC  (Near Field Communications).

 
Поскольку всё больше и больше компаний конкурирует за доллары клиентов в пространстве мобильных бумажников, поощряя «платежи без трения», покупатели должны быть осведомлены о рисках, которые сопутствуют использованию бесконтактных платежей или NFC в Android-телефонах для покупок.

Google Wallet, MasterCard PayPass и Visa Wave — три широко известные NFC-платёжные системы.

Чтобы их использовать, пользователям смартфонов нужно только зарегистрироваться, включить NFC-модуль на своих телефонах, и отправиться в магазин.

Американцы не слишком доверяют NFC-платежам

Google Wallet, изначально ориентированный на бесконтактные платежи и доступный на большинстве Android-телефонов посредством NFC (и с помощью приложений на iPhone), был одним из наименее успешных сервисов Google.

В мае этого года, руководитель Google Wallet подал в отставку. Этот шаг многие восприняли как «еще один признак продолжающихся проблем в убеждении пользователей смартфонов в США для принятия мобильных кошельков с использованием технологии NFC».

Бесконтактные платежи еще не столь популярны в США, как в Европе и Великобритании, но Visa заявляет, что принятие растет настолько быстро, что достигло «переломного момента».

Энн Ван Шредер, глава подразделения бесконтактных и мобильных NFC платежей в Visa Europe, сказала:

К концу 2013 года, европейцы будут делать более 52 миллионов бесконтактных транзакций ежемесячно.
Однако американцы подозрительно относятся к бесконтактным платежам и транзакциям через NFC. В декабре прошлого года аналитики наблюдали их холодный приём в США и объявили, что пройдёт ещё десять лет, пока мобильные платежи начнут широко использоваться.

Computerworld сообщает:
В соответствии с консенсусом пяти аналитиков, NFC потребуется минимум еще три года, чтобы охватить технологию, которая позволяет так называемые мобильные кошельки в качестве замены кредитным картам и наличным в США.

И под «охватить», эти аналитики имеют в виду использование лишь 10% пользователей мобильных телефонов для совершения цифровых покупок.

Несмотря на медленное принятие, весьма вероятно, что бесконтактные платежи и операции через NFC будет медленно просачиваться в использование — через Google и Visa, это лишь вопрос завоевания умов и сердец.

И наверняка в принятии бесконтактных платежей воры будут первыми.