Bezkontaktní platby: Jsou bezpečné?
| 7.5.2012 | Miroslav Čermák | |
 Zavedením bezkontaktních
karet by se měly výrazně zrychlit platby za
drobné zboží. Tomu by měla nahrát i
skutečnost, že pro potvrzení platby do určité
výše nebude nutné zadávat
PIN.
Nejedná se
ale o nic nového, naopak, je to záležitost
stará několik let, která ve světě existuje pod
názvem PayPass, což je řešení od
společnosti MasterCard představené již v roce 2003. S
obdobným řešením pak přišla
v roce 2007 i společnost VISA a nazvala ho payWave. Pro
úplnost je třeba dodat, že obě řešení
používají RFID technologii a obě tyto společnosti
pak s příchodem smartphonů na trh začaly spolupracovat s
jejich výrobci, aby bylo místo karty
možné použít smartphone vybavený
technologií NFC (Near Field Communication).
Odpůrci této
technologie argumentují tím, že byť se v mnoha
firmách karty s bezkontaktními čipy
používají již dnes, např. pro vstup do budovy,
vjezd autem do garáže, platbu za oběd, tak se
veškeré platby odehrávají
pouze uvnitř dané společnosti, a proto není
možné tuto kartu zneužít a pokud by jí
někdo zneužil, tak by se na to velice rychle přišlo.
Namítají, že v okamžiku, kdy se tento
nový způsob placení začne masově
používat, tak možnost zneužití výrazně
naroste, neboť tomu nahraje právě bezkontaktnost čipu a
možnost provedení platby bez nutnosti potvrzení
transakce. Z jejich pohledu by už byl lepší i
snadno kopírovatelný magnetický
proužek, neboť kartou by bylo nutné čtecím
zařízením projet. Argumentují
tím, že díky použití
bezkontaktního čipu je každý, kdo se dostane do
vaší těsné blízkosti, což
je ve frontě v obchodě a v MHD zcela běžné, schopen s
vaší kartou komunikovat.
Zde je třeba zdůraznit,
že útočník by se musel dostat opravdu do
vaší těsné blízkosti,
protože s použitými čipy, lze opravdu komunikovat jen na
vzdálenost několika málo centimetrů. Ostatně
slogan „Tap & Go“ (do češtiny by
se dal přeložit jako „Ťuknout a Jít“),
kterým MasterCard propaguje svůj produkt, to snad
říká jasně. Ne, ne, představa, že budete chodit s
baťohem v metru nebo supermarketu s platebním
terminálem a kasírovat peníze
ostatních uživatelů je naprosto scestná. I kdyby
se vám to podařilo, tak nevím, jak byste se
chtěli k těm penězům na účtu dostat a z banky je
vyvést. Uvědomte si, že každý terminál
je zaregistrovaný a pochybuji, že by nějaký
prodejce do takového rizika šel. Ano, teoreticky
to možné je. Útočník by chodil mezi
lidmi s terminálem a strhával by tímto
způsobem z jejich účtu jen malé částky
(tzv. salami attack), které by v celkovém objemu
mohly dosahovat značné výše.
A vy, pokud budete kartu
hodně používat, tak si už na konci měsíce
možná nevzpomenete, jestli jste ten koláč, co
jste si kupoval, stál 10 Kč nebo 15 Kč a zda je to v
pořádku, že na výpisu z účtu od banky
je uvedeno, že celková částka za
bezkontaktní platby je ve výši 458 Kč.
Nepochybuji o tom, že máte přehled o svých
výdajích, ale jste schopni říci, kolik
máte právě teď v peněžence přesně peněz a kolik
jste utratili za minulý měsíc? Uvědomujete si, že
když pro realizaci platby není nutný PIN, takže
by si vaší kartu mohl i někdo vypůjčit? Ale vy ji
jistě máte pořád u sebe, že? Pak se
nemáte čeho bát.
Bezpečnost - ta se paradoxně u
bezkontaktních karet zvyšuje
Byť je
mnohými bezpečnost plateb tímto způsobem
zpochybňována, tak paradoxně se bezpečnost může jedině
zvýšit, především proto, že
PIN už nebudete zadávat tak často jako dřív. A
tudíž se výrazně sníží
riziko, že ho někdo odpozoruje. A že PIN lze odpozorovat velice snadno,
to názorně předvedli studenti jedné
nejmenované VŠ v jednom nejmenovaném
hypermarketu. S výsledky jejich
„výzkumu“ jsme se mohli
všichni seznámit prostřednictvím
televizní obrazovky. Vzhledem k tomu, že nebudete muset
kartu ani vytahovat z pouzdra, tak si již nikdo nebude moci
přečíst údaje na ní
uvedené. Nikdo, dokonce ani pokladní nebo
číšník při placení
neuvidí tzv. cardholder data, tj. číslo karty,
jméno majitele, datum ukončení platnosti, a už
vůbec ne CVV/CVC kód na rubu karty. Dle Pavola
Luptáka ze společnosti Nethemba, se kterým jsem
možnosti útoku na bezkontaktní
platební karty konzultoval, není v
současné době znám způsob, jak tyto karty
zkopírovat/naklonovat, neboť neobsahují stejnou
zranitelnost jako karty Mifare Classic, pomocí
které se společnosti Nethemba podařilo demonstrovat
prolomení českých a slovenských Mifare
Classic karet.
Celý
článek najdete zde.
všechny články | |
Dále v rubrice
všechny články v rubrice
|