W dniu sobota, 7 lipca 2018 00:29:15 UTC+2 użytkownik MarcinF napisał:
> W dniu 2018-07-06 o 10:44, Dawid Rutkowski pisze:
>
> > Płatniczej w terminalu za pomocą telefonu, który prześle do terminala dane
odczytane telefonem - tym, czy innym i przesłane netem - z czyjejś karty.
> > Z racji nieznajomości przez złodzieja PIN ryzyko jest do 50zł oraz jednej
transakcji dla danej karty.
> > Taka jest niestety dziura w pikaczu - ktoś nie pomyślał, żeby to był challenge i
żeby dane były szyfrowane kluczem z terminala, tylko zrobił prostacko - karta na
żądanie terminala (czy też telefonu) wysyła komplet danych potrzebnych do wykonania
transakcji - a dopiero potwierdzenie ich przez terminal, które już jest szyfrowane
(stąd ryzyko tylko jednej transakcji) powoduje, że chip w karcie generuje kolejny
zestaw danych.
>
> Po tym co napisałeś poprzednio wystraszyłem się, że "połowa ludzi" może
> okradać posiadaczy kart zbliżeniowych, i bardzo zastanowiło mnie czemu
> tak się nie dzieje :)
> Teoretyczny atak o którym teraz piszesz jest znany od dawna, ale czy
> możesz przytoczyć jakikolwiek potwierdzony przykład?

Mogą o tyle, że mają sprzęt.
Oprogramowania raczej z google play za darmo nie ściągniesz gotowego ;P
Ale open source'owy "czytnik kart bankowych" jest dostępny, oczywiście ze źródłami.
Przykładu nie mam, ale banki chwalić się tym nie będą.
Luka jest ewidentna, na szczęście nie jest łatwa do wykorzystania.
Atak trudny a zysk mały.
Ciekawe, czy wzięli się za jej usunięcie - trzeba by zmienić protokół (oczywiście w
okresie przejściowym będą dostępne oba) oraz wymienić karty i terminale. Karty to
łatwe, 3 do 5 lat (np. w db, jak KNF kazał udostępnić wyłączanie pikacza, to nie
dość, że udostępnili rok później niż był nakaz, to się okazało, że w mojej karcie nie
można wyłączyć - dopiero po wznowieniu), ale ile żyje terminal?