13:38 15.02.2010 |   2442



Исследователи из Университета Кембриджа продемонстрировали наличие серьезных недостатков в системе авторизации платежных смарт-карт стандарта EMV.

Платежные карты сотен миллионов европейцев фактически беззащитны. Исследователи из Университета Кембриджа продемонстрировали наличие серьезных недостатков в системе авторизации платежных смарт-карт стандарта EMV (Europay, MasterCard, Visa). Эти карты снабжены микросхемами и при проведении операций требуют ввода на терминале четырехзначного PIN-кода, известного только владельцу карты. Микросхема на карте должна проверить код и подтвердить операцию. Однако стандарт EMV предусматривает также возможность подтверждения операции не PIN-кодом, а личной подписью покупателя. Банкоматы и другие автоматические платежные терминалы не используют такой метод, но в магазинах он иногда применяется. Исследователи обнаружили, что некоторые особенности протоколов EMV позволяют изготовить несложное электронное устройство, которое бы передавало данные от терминала смарт-карте и обратно, по пути искажая их таким образом, что микросхема на карте «думает», будто операция была подтверждена подписью. На самом же деле на терминале можно ввести любой код.

В отличие от авторов исследования, в британской банковской ассоциации U.K. Payments уверены, что данный метод слишком сложен для реального применения.


Теги: Информационная безопасность ИБ: Уязвимости
На ту же тему: