Użytkownik "Krzysztof Halasa" <k...@p...waw.pl> napisał w wiadomości
news:m3ve3m9zc7.fsf@maximus.localdomain...
> "Eneuel Leszek Ciszewski" <p...@c...fontem.lucida.console>
> writes:
>
>> A sam nie możesz przeciągnąć po lewym czytniku?
>> Wchodzisz do sklepu, robisz zakupy, przeciągasz kartą nie po czytniku
>> bankowym, ale po lewym, który czyta dane z paska i gdzieś je zapisuje.
>>
>> Sprzedawca przeprasza Cię za niesprawność czytnika
>
> Teoretycznie mozna przeniesc sygnal z glowicy "podstawionego" czytnika
> na glowice prawdziwego.

Dokładnie. I to za pomocą GSM - w czasie rzeczywistym na drugi koniec kraju
albo świata.

Dalej uważam jednak, że fałszywy czytnik *musi* działać i autoryzować
karty - podstawianie atrapy urządzenia byłoby zbyt ryzykowne. I tutaj tkwi
słabość systemu: jest możliwe (1) przechwycenie danych pomiędzy chipem a
czytnikiem, (2) odczytanie PINu, gdyż dane zwykle nie są szyfrowane (a nawet
gdy są szyfrowane, wystarczy podmienić jeden bit i zostaną przesłane bez
szyfrowania), (3) użycie PINu ze zeskimmowanym paskiem.

Ryzyko, że sprzedawca będzie oszustem, jest wg mnie mało realne: raczej
czytniki będą podrabiane, a dane odczytywane zdalnie.

k.