Are contactless payments safe? Finding out how secure payWave and PayPass are | Kaspersky official blog

Encryption

Getting a target card within the reach of a rogue reader is just half of the task. There is another, more serious, line of defense – encryption.

Contactless transactions are protected by the same EMV standard which protects ordinary plastic cards equipped by an EMV chip. Whereas a magnetic strip can be easily cloned, a chip would not allow this to happen. On receiving a request from a POS terminal, its IC generated a one-time key. This key could be intercepted, yet would not be valid for the next transaction.

https://www.youtube.com/user/hitbsecconf/videos

Researches have numerously voiced their concerns about the EMV security; however, real-life cases of hacking an EMV card are still unheard of.

Nfc attack can steal your credit card information

Crooks are using the NFC capability of Android smartphone to steal your credit card data, it’s scaring but true.

But first let’s introduce the Near field communication (NFC) as “a set of standards for mobile devices designed to establish radio communication with each other by being touched together or brought within a short distance. The NFC standard regulates a radio technology that allows two devices to communicate when they are in close proximity, usually no more than a few centimeters, allowing the secure exchange of information.”

“Each full NFC device can work in three modes: NFC Card Emulation; NFC Reader/Writer; and NFC peer-to-peer (P2P mode):

Since Android phones have come with NFC 2-3 years ago that lead to an increase in the use of NFC technology and it has been used by Google wallet lately, Android pay, and many others.

NFC_Standards

When the NFC is activated, small amounts of data are transferred between the devices that are connected, making one of the strongest points of this technology, but at the same time the weakest point that could be exploited by hackers.

How can hackers steal your credit cards using NFC?

As you know there has been some search about NFC relay attacks which can lead to data corruption, spoofing, man-in –the-middle attacks, as cyber security expert Pierluigi Paganini shows us very well in but all this attacks were difficult to perform and to be successful because it requires the devices to be near to each other, but that may change with the discovery of the researcher Michael Roland, who found that installing a Trojan relay in Android smartphones can facilitate the things, since the attacker can start Google Play using the NFC capabilities.

When realizing the issue, Google patched the problem, but when researching once again, Rodriguez and Vila discovered that NFC in an Android device could be used to steal credit cards that the victim as in his pocket, think about it, how many times your phone is close to your wallet? Too many times I am sure.

Attack scenario

For the hacker to pull off this attack he needs a POS machine that it’s able to accept NFC payments and an Android phone with NFC, running Android 4.4 KitKat or above.

Now we get back to the relay attacks, where the attacker will forward an entire wireless communication over a large distance (NFC only allows small distance transmissions), he will be doing that by using the concept of the “the honest prover, the honest verifier, the dishonest prover and the dishonest verifier”

  • Dishonest prover and verifier will fool the honest verifier and prover
  • Your credit card is your honest prover
  • The POST terminal is the honest Verifier
  • The attacker’s NFC Android phone is the dishonest prover
  • Your phone is the dishonest verifier

NFC attack

The difficult part of the attack is how to attract the victim into downloading an app, but assuming that the attacker was successful and the victim has the “bad” app, the app will start checking the environment around the smartphone to see if there is any credit card (of course that depends your wallet is near enough to the phone to the app to be successful).

Once the credit card is detected, the app sends a message over the victim smartphone’s internet to the attacker’s smartphone. Since now the attacker received the message in his Android phone, he just needs to come close the POS machine, for the POS machine to be able to do the illegal monetary transaction.

The researchers Jose Vila and Ricardo J. Rodrıguez presented the “Relay Attacks in EMV Contactless Cards with Android OTS Devices” at the hacking conference HACK IN THE BOX, in Malaysia. The experts made a PoC using a Nexus 5 (dishonest prover) and Sony Xperia S (the dishonest verifier).

Even if exists a restriction in the amount of money that can be stolen (around $50), and after some transitions is required a PIN, this should be enough to put us on alert, and since it’s an early research, more breakthroughs can be made, improving attacks and making them simple, and if join to all this the fact the NFC is becoming “bigger” and widely used we may have here the receipt for a disaster.

“Be aware of the apps you are installing on your device – don’t use apps that haven’t been approved in the Google Play store or that are from an alternative market. If you aren’t using NFC for other stuff, just deactivate it by default. That way the application must ask you to activate NFC and if an unauthorized usage, then you will know it.” Rodriguez told to iDigitalTimes:

Enjoy the presentation here,  or give a look to the technical whitepaper.

About the Author Elsio Pinto

Edited by Pierluigi Paganini

(Security Affairs –  NFC,  hacking)




Value of transaction

There is yet another line of defense: limitation of value of transaction for contactless payments. This limit is coded into the settings of a POS terminal, as seen adequate by an acquiring bank based on recommendations obtained from payment systems. In Russia, the maximum value of contactless transaction is 1000 RUB, whereas in US this limit is set at $25, and in UK at 20 GBP (soon to be raised up to 30 GBP), etc.

Should the value exceed this limit, the transaction would be rejected or require an additional proof of validity, e.g. a PIN code or a signature, depending on the settings provided by the emitting bank. To prevent attempts to charge smaller sums consequently, an additional security mechanism would be invoked.

However, there is a rub. Almost a year ago, another team of researchers from the University of Newcastle (UK) reported vulnerability in the security system of Visa contactless cards. Once you choose to perform the payment in a foreign currency and not in GBP, you can bypass the limit. If a POS terminal is offline, the maximum value of transaction might reach as much as 1 million EUR.

However, Visa reps declined feasibility of such an attack in real life, stating that the transaction that huge would be rejected by a bank’s security systems.

According to Raiffeisen Bank’s Taratorin, a POS terminal controls the maximum value of transaction, regardless of the currency.

We’ll choose a different way

So, does it all boil down to the practical improbability of a bank of a payment system’s failure to prevent rogue contactless transaction? The likely answer is yes, provided that scammers do not work for the bank in question.

At the same time, there is another unpleasant finding. NFC can facilitate the theft of payment card credentials, if transaction itself cannot be hijacked.

The EMV standard presupposes that some data is stored unencrypted in the chips’ memory. Such data might include the card number, last transactions, etc., depending on the policies of the emitting bank or the payment system. The data could be read via an NFC-enabled smartphone with a legitimate app (like Banking card reader NFC) – you can check it out yourselves.

Until now, the information at stake was considered open and not sufficient to compromise the card’s security. However, a prominent British consumer media outlet Which?, surprisingly, busted the old myth.

The Which? experts tested a handful of different contactless cards emitted by UK banks. With the help of an affordable NFC reader and free software they managed to decode the card number and expiry date for all the participating cards.

Исследователь продемонстрировал перехват управления самолетом при помощи android-приложения

Сегодня на конференции Hack In The Box в Амстердаме состоялся доклад Хьюго Тесо, консультанта по безопасности из n.runs AG, о полностью достоверном сценарии угона самолета при помощи простого Android-приложения.

Тесо работает в ИТ-индустрии последние 11 лет, но даже больше времени он является коммерческим пилотом, что позволило ему совместить две своих профессии и изучить состояние дел с безопасностью авиационных компьютерных систем и коммуникационных протоколов.

Are contactless payments safe? Finding out how secure payWave and PayPass are | Kaspersky official blog

Воспользовавшись преимуществом двух новых авиационных систем для обнаружения уязвимости, сбора информации и эксплуатации, создав фреймворк (SIMON) и приложение для Android (PlaneSploit), которые доставляют атакующее сообщение системе управления полетом самолета (Flight Management Systems), он продемонстрировал возможность получить полный контроль над самолетом, заставив виртуальный самолет «танцевать под свою дудку».

Одна из двух технологий, которыми он злоупотребил, является Automatic Dependent Surveillance-Broadcast (ADS-B). Она посылает информацию о каждом самолете (идентификатор, текущую позицию, высоту и т.д.) через бортовой передатчик диспетчеру воздушного движения, позволяя самолетам, оснащенным этой системой, получать полетную и погодную информацию о всех других судах, находящихся сейчас в воздухе в текущем районе.

Вторая это Aircraft Communications Addressing and Reporting System (ACARS), которая используется для обмена сообщениями между самолетом и диспетчером по радио или через спутник, а также для того, чтобы автоматически доставлять в центр информацию о каждой фазе полета.

Are contactless payments safe? Finding out how secure payWave and PayPass are | Kaspersky official blog

Обе эти технологии чрезвычайно небезопасны и восприимчивы к ряду пассивных и активных атак. Тесо использовал ADS-B для выбора цели, а ACARS для сбора информации о бортовом компьютере, а также для взлома его уязвимостей при помощи передачи поддельного вредоносного сообщения.

Are contactless payments safe? Finding out how secure payWave and PayPass are | Kaspersky official blog

Основываясь на своих собственных исследования, Тесо разработал фреймворк SIMON, который намеренно сделал работающим только в виртуальнйо среде, так что его невозможно применить на реальных самолетах. Его тестовая лаборатория состоит из набора программных и аппаратных средств, но средства соединения и связи, также как и способы взлома, абсолютно те же самые, что можно было бы использовать в реальной жизни.

Так как практически невозможно обнаружить фреймворк в Flight Management System, нет нужды маскировать его как руткит. Используя SIMON, атакующий может загрузить определенный вредоносный код на удаленный FSM, загрузить полетные планы, подробные команды или даже собственные плагины, которые можно разрабатывать для фреймворка.

Чтобы сделать все еще более интересным – или простым – Теско показал приложение под Android, которое использует SIMON для удаленного управления самолетом в движении. Приложение, затейливо названное PlaneSploit, обладая простым интерфейсом набито разными возможностями. И это достойный пример технологической эволюции – десять лет назад у нас не было телефонов с цветными экранами, а сегодня мы со смартфонов взламываем самолеты.

PlaneSploit использует трекер Flightradar24 и ты можешь тапнуть на любом самолете в округе. В виртуальной среде дистанция самолета значения не имеет, но в реальном мире все будет зависеть от используемой антенны (если речь идет непосредственно о самолете) или системы (если использовать ACARS, такие как SITA или ARINC).

Пользовательский интерфейс приложения разделен по функциям: обнаружение, сбор информации, эксплуатация и пост-эксплуатация. Атакующий может кликнуть на любом активном самолете и получить его идентификатор, текущую позицию и конечную точку полета. В случае если система самолета взламываема (исследователь указал ряд векторов атаки, но особо не распространялся о методах), приложение предупреждает пользователя при помощи сообщения или пуш-уведомления. Пейлоад может быть загружен простым тапом, и с этого момента система управления полетом удаленно контролируется хакером. Возможен и взлом других систем, связанных с FMS.

Тесо на конференции показал некоторый функционал своего приложения:

Тесо по понятным причинам не разгласил много подробностей об инструментах, которые он использовал для атаки, и уязвимостях, которые еще предстоит пофиксить. Однако он отмечает, что был приятно удивлен реакцией отрасли на свои исследования, которая не стала отрицать их наличие, а обещала помочь ему в его исследованиях.

Are contactless payments safe? Finding out how secure payWave and PayPass are | Kaspersky official blog

Он отмечает, что старые системы, которые берут свое начало в 70-ых годах, будет трудно, если вообще возможно, исправить, но новые просто пропатчить новыми прошивками и изменениями в программах.

Решение для пилотов по возвращению контроля над самолетом пока простое – атака такого рода работает только при включенном автопилоте, так что его просто надо выключить, проведя потом посадку на «аналоговых инструментах».

Плохая новость в том, что новых самолетов не так много, а пилоты должны понять, что компьютер взломан для того, что бы осуществить маневры.

Решение

Прошедшим летом MSF обзавелся новым GUI-интерфейсом, написанным на Java. Это было хорошей заменой старому, кривоватому. Об этом я писал в одном из прошлых номеров. Java-гуй вырос. И теперь представляет собой хороший продукт. Хотя, спартанский такой получился — консоль не заменит.

Удобно в нем разве что полазить по папочкам жертвы или порыскать по структуре модулей/сплойтов, которых становится все больше. Юзабилити у него не на самом высоком уровне. Но некоторое время назад у нового гуя появился конкурент. Причем от стороннего фаната-разработчика, который трудится не покладая рук.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *