Новый метод позволяет обойти защиту карт MasterCard ПИН-кодом

Екатерина Быстрова 20 Февраля 2021 - 12:22

...

Новый метод позволяет обойти защиту карт MasterCard ПИН-кодом

Специалисты в области кибербезопасности обнаружили новый метод атаки, позволяющий злоумышленникам «обмануть» терминал для оплаты (POS-терминал) и заставить его думать, что бесконтактная карта Mastercard на самом деле является картой Visa. По словам экспертов, с помощью этого вектора можно обойти защиту ПИН-кодом.

Соответствующее исследование опубликовали сотрудники Швейцарской высшей технической школы Цюриха (ETHZ), которые взяли за основу другой отчёт, датируемый сентябрём 2020 года.

Как уверяли специалисты в сентябре, злоумышленники могут использовать украденные или утерянные банковские карты граждан для оплаты дорогих товаров, обходя при этом стандартную защиту ПИН-кодом от операций на большие суммы.

«На самом деле, эта атака серьёзнее, чем может казаться. Например, преступники могут использовать этот метод для обхода защиты ПИН-кодом», — писали исследователи.

Новый отчёт (PDF) показывает, как злоумышленники могут использовать «серьёзные» уязвимости в протоколе EMV, который принят международным стандартом для операций по банковским картам с чипом. На этот раз в зоне риска банковские карты, выпущенные Mastercard.

Согласно описанию специалистов, атаку можно осуществить с помощью специального Android-приложения, которое реализует концепцию «Человек посередине» (Man-in-the-Middle, MitM). В результате приложение сможет не только пересылать сообщения между терминалом и картой, но и вклиниваться в NFC-взаимодействие.

Другими словами, злоумышленник использует уязвимости в процессе проверки идентификатора AID терминалом. Как правило, POS определяет тип карты, основываясь на PAN-номере и AID. Подробнее с методом атаки можно ознакомиться на видео, которое записали эксперты:

Следующая главная новость »

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »

Екатерина Быстрова 10 Декабря 2025 - 16:29

macOS iOS Соответствие законодательству РФ Общее Системы контентной веб-фильтрации Apple

Почему в России не заблокировали iMessage? Могут сломаться уведомления

После того как в России запретили FaceTime, многие удивились: а почему под запрет не попал iMessage? Оба сервиса со сквозным шифрованием, оба не дают властям читать переписку или перехватывать звонки. На первый взгляд — идеальные кандидаты для блокировки. Но iMessage остался нетронутым.

Теперь всплыла любопытная версия, объясняющая, почему запрет этой службы может оказаться куда сложнее, чем кажется.

Напомним, Роскомнадзор объявил о блокировке FaceTime под предлогом «противодействия терроризму». Но почти сразу возник резонный вопрос: почему тогда не ограничили iMessage, который также полностью зашифрован?

Первая гипотеза была проста: в России iMessage почти никто не использует, поэтому блокировать его смысла нет. Но есть версия поинтереснее.

Исследователь Джон Грубер поднял эту тему, и в обсуждение включился пользователь Mastodon под ником Magebarf. Он напомнил, что трафик iMessage проходит по тем же серверам, что и пуш-уведомления Apple.

Иными словами, если кто-то попытается заблокировать iMessage, то заодно сломает доставку всех пуш-уведомлений на iPhone в стране. А это уже удар не по отдельному сервису, а по всей экосистеме Apple.

Считается, что Apple намеренно построила архитектуру так, чтобы операторы не могли избирательно блокировать iMessage — ведь когда-то СМС приносили им большие деньги, и им могло не понравиться, что люди вдруг начинают переписываться бесплатно.

Magebarf привёл интересный пример: если подключиться в самолёте к тарифу «только для сообщений», доступ к интернету там фактически ограничен, но пуш-уведомления продолжают приходить. Это, по его мнению, подтверждает объединение этих сервисов в единый канал.

Если версия верна, то заблокировать iMessage в стране — означает выключить уведомления у всех iPhone. Это технически возможно, но ударит по пользователям настолько сильно, что последствия могут быть уже политическими и экономическими.

Так что ответ на вопрос «почему Россия не забанила iMessage» может быть крайне прозаичным: потому что это почти невозможно сделать, не вызвав хаос в экосистеме Apple.

Российские альтернативы Microsoft Office: чем они отличаются и как выбрать? Расскажем на AM Live! Регистрируйтесь »