La investigación ha sido publicada por un grupo de académicos de la Universidad pública de Zurich. Este documento recoge un nuevo error que afecta a los pagos a través de contactless y que omite el paso de verificación de PIN. Esto permitía a los atacantes realizar compras con tarjetas robadas.
Actualmente, todas las tarjetas contactless que hacen uso del protocolo Visa, incluidas las tarjetas Visa Credit, Visa Debit, Visa Electron y V Pay, se ven afectadas por por este fallo de seguridad. Los investigadores también avisaron de que este fallo podría aplicarse a los protocolos EMV implementados por Discover y UnionPay. Esto dejaría fuera a Mastercard, American Express y JCB, por lo que los usuarios de de estas tarjetas pueden estar tranquilos ya que el fallo no les afectaría.
La vulnerabilidad en cuestión consiste en la modificación de los verificadores de transacciones de tarjetas mediante ataques MitM.
Para comprender la vulnerabilidad debemos de saber que el protocolo EMV, es un estándar a nivel internacional y ampliamente utilizado para efectuar pagos con tarjeta, requiere de una verificación a través de PIN cuando la cantidad excede de cierto límite.
Los investigadores de ETH encontraron una brecha de seguridad en este protocolo, lo que les permitió explotar una vulnerabilidad a través de un ataque MitM llevado a cabo mediante una aplicación móvil para Android que le indica al terminal de pago que la verificación del PIN no es necesaria porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor.
El problema radica en el hecho de que el método de verificación del titular de la tarjeta (CVM), que se utiliza para verificar si la persona que intenta realizar una transacción con una tarjeta de crédito o débito es el titular legítimo de la tarjeta, no está protegido criptográficamente contra modificaciones. Esto permite que se pueda modificar el CTQ (Card Transaction Qualifiers) para indicar al terminal que no se necesita una verificación de PIN y que el titular de la tarjeta ya había sido verificado en el dispositivo del consumidor.
Cabe mencionar que los investigadores no solo realizaron pruebas de laboratorio para explotar el fallo, también llevaron a cabo pagos reales a través de este sistema utilizando sus tarjetas reales para estar seguros de que funcionaba. Además señalaron que para un trabajador sería muy complicado darse cuenta de que se estaba cometiendo un delito, ya que a día de hoy es muy habitual que los clientes paguen con sus dispositivos móviles.
Tras el descubrimiento de esta vulnerabilidad también detectaron otra que permitía a los atacantes modificar un dato específico llamado «Criptograma de aplicación» (AC) en transacciones offline antes de que se entregue al terminal.
Visa ya ha sido notificada sobre estos descubrimientos y se le han reportado tres posibles soluciones de software al protocolo para evitar los ataques de omisión de PIN y los ataques a través de tarjetas offline.
Fuentes:
https://thehackernews.com/2020/09/emv-payment-card-pin-hacking.html
Deja una respuesta