Mity i fakty o bezpieczeństwie płatności zbliżeniowych cz.1

Beata Marek Bezpieczeństwo teleinformatyczne, Cyberzagrożenia i cyberprzestępczość, Ochrona danych osobowych, Ochrona prywatności 2 Comments

Płatności zbliżeniowe stają się coraz bardziej popularne w Polsce i coraz chętniej z nich korzystamy. Wiele osób zadaje sobie jednak pytanie czy popularny PayPass/NFC jest bezpieczny? Czy może wręcz odwrotnie?

Zapytałam co sądzą o nich Robert Gałkowski i Adam Wódz (ISSA Polska) oraz gdzie dostrzegają potencjalne zagrożenia, a gdzie ich w ogóle nie ma.

Dzisiaj skupimy się na 3 tematach:

  • komunkacji NFC
  • problematyce danych osobowych
  • podsłuchiwaniu
  • Jeśli posiadasz kartę umożliwiającą płatności zbliżeniowe albo ktoś z Twoich znajomych to koniecznie przeczytaj.

    Robert Gałkowski i Adam Wódz (ISSA Polska):

    „ Wg badania przeprowadzonego przez Mastercard co czwarty Polak płaci kartą zbliżeniową, a 5% badanych do płatności zbliżeniowych wykorzystuje swojego smartfona. Popularność ta wynika z faktu, że większość kart płatniczych wydawanych obecnie przez banki w Polsce umożliwia dokonywanie płatności bezstykowych. Karty te używają technologii RFID, a systemy związane z ich obsługą zostały nazwane przez ich czołowych producentów jako Visa PayWave i Mastercard PayPass. Niektórzy operatorzy sieci komórkowych w kooperacji z bankami udostępniają również możliwość płatności bezstykowych za pomocą telefonów wspierających technologię NFC (Near Field Communication), stanowiącą rozwinięcie RFID. Płatności bezstykowe oferuje również usługa Google Wallet. Należy jednak pamiętać, że technologia RFID/NFC wykorzystywana jest także do dokonywania płatności bez pośrednictwa banków, np. kartami miejskimi czy parkingowymi, a także do przechowywania danych osobowych i informacji o zakupionych usługach, np. na biletach komunikacji publicznej czy na karcie kibica.

    Zwiększająca się liczba usług wykorzystujących tę technologię, jak również coraz szersza dostępność urządzeń konsumenckich (telefony, tablety) z obsługą technologii NFC sprawia, że na znaczeniu zyskują kwestie związane z propagowaniem informacji o faktycznym bezpieczeństwie tej technologii oraz potencjalnych zagrożeniach zarówno dla danych klientów, jak i ich środków finansowych.

    NFC a próba odczytania danych z karty

    NFC wykorzystuje jeden z przedziałów częstotliwości używanych przez RFID – 13,56MHz. Zasięg komunikacji według specyfikacji wynosi ok. 10 cm, ale przy zastosowaniu wyspecjalizowanego sprzętu można go zwiększyć do ponad 1 m. W praktyce jednak próba odczytania karty schowanej głębiej wewnątrz portfela poprzez przyłożenie telefonu bezpośrednio do zewnętrznej części portfela często spełza na niczym – proponujemy przeprowadzenie takiego doświadczenia wszystkim posiadaczom smartfonów z NFC.

    Główną różnicą między NFC a RFID jest fakt, że w technologii NFC komunikacja może być dwukierunkowa, podczas gdy w przypadku urządzeń (najczęściej kart) korzystających z RFID możliwy jest jedynie „odczyt” urządzenia pasywnego przez urządzenie aktywne. Oczywiście nadal możliwa jest komunikacja urządzenia wyposażonego w technologię NFC z kartą korzystającą z RFID. Aby się o tym przekonać potrzebujemy np. telefonu z systemem Android, obsługującego technologię NFC oraz odpowiedniej aplikacji. Do testów proponujemy aplikację CardTest – pozwala ona odczytać dane użytkownika z wielu wydawanych w Polsce kart z funkcjonalnością bezstykową – a jest to tylko jedna z wielu dostępnych aplikacji do obsługi NFC.

    A zatem telefon znajdujący się w odległości kilku centymetrów od naszej karty może nawiązać z nią jakąś komunikację. Już samo to wystarczyłoby, by wzbudzić w wielu osobach lekki niepokój. Zastanówmy się więc, jakie tak naprawdę ryzyko ponosimy, korzystając z takiej karty, bądź tylko nosząc ją w portfelu.

    Karta bezstykowa a problem z danymi osobowymi

    Czy noszenie przy sobie karty bezstykowej jest jednoznaczne z przypięciem sobie w widocznym miejscu kartki z danymi osobowymi i numerem karty kredytowej?

    Przeważnie nie, aczkolwiek… Przede wszystkim trzeba mieć świadomość, że za pomocą NFC można odczytać informacje o numerze i terminie ważności karty. Na pewno nie jest jednak transmitowany kod CVV2/CVC2, który powinien być niezbędny do dokonania płatności online. Niestety – jak wynika z doświadczeń z wydawanymi w Polsce kartami – zdarzają się też takie, na których przechowywane jest dodatkowo imię i nazwisko właściciela, co może stanowić już poważniejsze ryzyko. Należy bowiem zwrócić uwagę, że niektórzy sprzedawcy nie wymagają od kupujących podawania kodu CVV2/CVC2. Sytuacja taka miała na przykład miejsce w przypadku Amazona – był to zarazem jeden z głośniejszych przypadków ujawnionych przez badaczy luk w bezpieczeństwie płatności zbliżeniowych.

    Zalecamy zatem sprawdzenie swoich kart, np. za pomocą wymienionej wyżej aplikacji.

    Będzie to zarazem okazja aby przekonać się, że odczyt danych nie jest natychmiastowy i wymaga aby karta praktycznie dotykała telefonu. Tym niemniej możemy sobie wyobrazić sytuację, w której ktoś odczyta dane z naszej karty w zatłoczonym tramwaju np. korzystając z anteny silniejszej niż ta w telefonie. Jeżeli uznajemy takie ryzyko za nieakceptowalne, to możemy się przed nim zabezpieczyć, przechowując naszą kartę w etui lub portfelu ekranującym fale radiowe (albo też po prostu owijając ją zwykła folią aluminiową).

    Należy też lojalnie uprzedzić, że posiadanie jednocześnie kilku kart z RFID w tym samym portfelu nie stanowi problemu dla dobrze wykonanego czytnika (choć może „zmylić” zwykły telefon). Ci, którzy zostali przez bank „uszczęśliwieni na siłę” kartą obsługującą płatności zbliżeniowe, mogą próbować pozbyć się tej niechcianej funkcjonalności. Niektóre banki chwalą się możliwością całkowitego nieodwracalnego zablokowania funkcji płatności zbliżeniowych na karcie na życzenie klienta, jednak – uwaga! – w rzeczywistości tego nie robią, blokując jedynie możliwość autoryzacji płatności offline. Bardziej radykalnym posunięciem dla zdesperowanych pozostaje zatem uszkodzenie anteny w karcie (dociekliwych odsyłamy po instrukcje do Internetu), co uniemożliwi zbliżeniowy odczyt danych, ale nie wpłynie na tradycyjną funkcjonalność karty.

    Podsłuchiwanie …

    Jak już wspomnieliśmy, w płatnościach bezstykowych wykorzystuje się transmisję radiową, która pozwala teoretycznie na podsłuchiwanie wymienianych informacji.

    Należy jednak pamiętać, że komunikacja jest szyfrowana, więc nie należy się obawiać, że wykradzione w ten sposób dane komukolwiek się przydadzą. Wykorzystywane są też standardowe zabezpieczenia transakcji bankowych: jednorazowe kody transakcji generowane przez tzw. „secure element” – chip, który zawiera bezpieczne klucze szyfrujące, zaprojektowany specjalnie z myślą o uniemożliwieniu nieautoryzowanego dostępu do zawartych w nim informacji. To zabezpieczenie chroni przede wszystkim przed atakami typu „replay”. Pamiętajmy, że karta jest elementem „pasywnym”, czyli jedynie odpowiada na „zapytania” wysyłane przez terminal płatniczy. Potencjalnie zatem możliwe byłoby „nagranie” wysyłanej przez kartę odpowiedzi i wykorzystanie jej ponownie przy następnej transakcji, jednak dzięki kodom jednorazowym skutecznie zapobiegnięto takiemu ryzyku.”

    Cdn

    W poniedziałek Robert i Adam powiedzą więcej o:

  • ataku przez proxy
  • jak duże jest ich zdaniem ryzyko korzystania z płatności zbliżeniowych?
  • technologii RFID i płatnościach pozabankowych
  • Autor grafiki promującej wpis: Petr | Direct-services