Vice - Pred mesecem dni smo poročali o uspešnem zaključku mednarodne preiskave, v kateri so aretirali 800 osumljencev za huda kazniva dejanja. Ključni način za zbiranje dokazov so bili pametni telefoni, ki jih je v letih 2019-2021 pod krinko prodajal FBI kot varne telefone z zaščito proti prisluškovanju, v resnici pa so bili okuženi. Na njih je bila platforma ANOM, ki naj bi bila omogoča varno šifrirano komunikacijo. Sedaj vemo več, saj so se ti telefoni znašli na trgu rabljenih naprav.

Vice je dobil en tak telefon in ga podrobno analiziral. Dobili so ga od uporabnika, ki ga je kupil rabljenega kot poceni telefon, pri čemer sploh ni vedel, da bo dobil zloglasni telefon ANOM (ki je bil predhodno v lasti nekega kriminalca). Takih primerov je še več. Gre za telefon Google Pixel 4a (pojavljajo se tudi Google Pixel 3a, ki so predelani na enak način), ki na prvi (in drugi) pogled deluje povsem običajno. Tako se zdi, če vpišemo PIN, ki odpre značilno namizje, na katerem so ikone do popularnih...

Wired News - Francoski raziskovalci so predstavili praktično uporabo enega izmed načinov zlorabe plačilnih kartic, na katerega so raziskovalci iz Cambridgea teoretično opozorili že leta 2010. Tedaj so EMVCo in banke odmahnili z roko, da je v praksi ranljivost nemogoče zlorabiti. Francoski zlikovci so jih hitro demantirali in že v letih 2011-2012 začeli zlorabljati ranljivost. Danes je ta že odpravljena, zato so francoski raziskovalci z École Normale Supérieure v članku predstavili podrobnosti.

Za uspešno izvedbo transakcije moramo pri uporabi novih kartic s čipom vnesti pravilen PIN. Terminal preveri vneseni PIN tako, da čipu na kartici pošlje PIN, ta pa potem preveri, ali se njegova zgoščena vrednost ujema s tisto, ki je shranjena v čipu. Tako se PIN ne prenaša po zunanjih omrežjih, hkrati pa iz čipa ni mogoče izluščiti PIN-a. Gre pa nekoliko...

Heise - V boju proti zlorabam plačilnih kartic, ki so v preteklem letu po vsem svetu skokovito narasle (predvsem skimming, to je kopiranje magnetnega zapisa in PIN-a), bodo Nemci počasi prešli na uporabo kartic brez magnetnega traku. Ker se od letošnjega leta v evrskem prostoru pri transakcijah na bankomatih uporablja EMV-čip, je po poročanju Frankfurter Allgemeinze Sonntagszeitunga nemška zvezna policija (nem. Bundeskriminalamt) bankam priporočila, da začnejo izdajati kartice brez magnetnega zapisa. Isti podatki kot na magnetnem traku so namreč tudi v čipu, od koder jih je dosti teže prebrati.

Za komitente, ki potrebujejo tudi kartice za v neevrske države, pa bankam...

Slashdot - Letos februarja je bilo na BBC-ju javno razkrito, da je trenutni sistem ugotavljanja istovetnosti uporabnika plačilne kartice luknjičav. Ker se pravilnost vnesenega PIN-a preverja proti kartici in ne proti centralni bazi podatkov v banki, je moč pretentati POS-terminal in z uporabo lažne kartice doseči, da se transakcije sprovede z vnosom poljubne kombinacije namesto PIN-a. Banke v desetih mesecih niso storile ničesar.

Podiplomski študent Omar S. Choudary na Cambridgeu je pripravil magistrsko nalogo The Smart Card Detective:
a hand-held EMV interceptor in jo tudi objavil na fakultetnih straneh. V njej je raziskal pomanjkljivost in...

ZDNet - Pretekli teden smo poročali, da so raziskovalci s Cambridgea odkrili napako v sistemu avtentikacije plačil z bančnimi karticami, saj je mogoče z napadom MITM ukaniti terminal in zaobiti potrebo po vnosu pravilnega PIN-a. Kot poroča ZDNet UK, EMVCo, ki postavlja standarde za kartično poslovanje in je v solasti American Express, JCB, MasterCard in Vise, je napovedal, da bodo članek in napada preučili in ocenili potrebne spremembe. Prav tako bodo incident preiskali v podjetjih, ki skrbijo za plačilne sisteme. Tako je MasterCard že potrdil, da standard EMV redno preverjajo in da bodo v sodelovanju z drugimi podjetji poskrbeli, da bo poslovanje varno. Profesor Ross Anderson iz Cambridgea...

BBC - Bančne kartice so v zadnjem času dobile lične zlatorjave čipe, ki pri plačilu preko terminala POS zahtevajo vnos PIN-a za avtorizacijo plačila. Kot pravi Bruce Schneier, je že dlje časa znano, da gre bolj za prelaganje odgovornosti in ne za nobeno pravo varnost. Zdaj so to demonstrirali še raziskovalci z angleškega Cambridgea, ki od leta 2004 bdijo nad sistemom in odkrivajo pomanjkljivosti.

V članku Chip and PIN is broken so opisali (izjava za javnost, pogosto zastavljena vprašanja), kako lahko z napadom s posrednikom (man-in-the-middle attack) pretentamo sistem v avtorizacijo, ne da bi sploh vnesli PIN. Normalna transakcija poteka takole. Uporabnik vtipka PIN v terminal, ta preveri njegovo veljavnost na čipu pametne kartice, ki odgovori z da ali ne,...

Schneier.com - Saar Drimer, Steven J. Murdoch in Ross Anderson iz University of Cambridge so spet postregli z nadvse zanimivim člankom z naslovom Optimised to Fail: Card Readers for Online Banking.

V članku so se lotili varnostne analize bančnega protokola za Chip Authentication Programme, ki omogoča overjanje komitentov in njihovih transakcij pri spletnem in telefonskem bančništvu. Komitent od svoje banke dobi poseben čitalec, v katerega vstavi svojo pametno bančno kartico ter vnese PIN kodo. Na napravi se nato prikaže enkratno geslo, s katerim se komitent nato lahko prijavi na spletno stran banke. Komitent pa od banke lahko prejme tudi posebno kodo, ki jo vnese v napravo (tim. challenge), po vnosu prave PIN številke in ob prisotnosti pametne bančne kartice pa naprava zgenerira odgovor (tim. response). Na podoben način je mogoče podpisovati tudi posamezne transakcije.

Banke so sistem razvile z namenom zmanjšati goljufije pri spletnem bančništvu, a kot so ugotovili Drimer, Murdoch in Anderson,...