Австралийский исследователь Питер Филлмор (Peter Fillmore) обнаружил слабое место в механизме аутентификации универсальной платежной карты Coin. Этот миниатюрный прибор легко умещается в кармане или кошельке, избавляя своего владельца от необходимости носить с собой пачку разных банковских карт.
Coin хранит все карты «в себе», обладает магнитной полосой и дисплеем. Достаточно просто переключиться на нужную карту и оплатить покупку. Филлмор выявил, что этот удобный девайс уязвим для man-in-the-middle атак и может быть использован для работы с украденными картами.
Исследователь рассказывает, что найденная им уязвимость позволяет осуществить man-in-the-middle атаку на Coin, а затем загрузить на устройство и верифицировать ворованные банковские карты. Филлмор отмечает, что приобрести информацию об украденных картах можно в даркнете и на хакерских форумах. Залив такие карточки на устройство, хакер получает пространство для маневра. Дело в том, что Coin в западных странах является вполне узнаваемым аппаратом. То есть человек, расплачивающийся этим устройством, не вызывает ни у кого вопросов и подозрений. Чего нельзя сказать о людях, пытающихся расплатиться странными DIY-девайсами.
Хакер поясняет, что для исправления уязвимости компании потребуется внести основательные изменения в механизм аутентификации Coin. Придется сделать его максимально приближенным к той системе, что сейчас используют традиционные платежные терминалы. Подобный «апгрейд» может обойтись компании в кругленькую сумму и явно займет время. Для сравнения – на обнаружение уязвимости и создание эксплоита у Филлмора ушло всего полдня.
Филлмор обнародовал детали на конференции Kiwicon, проходившей в 10-11 декабря 2015 года в Австралии. Так как в сети подробности доклада пока опубликованы не были, исследователь описал атаку изданию The Register. Филлмор даже предоставил журналистам proof-of-concept видео.
Атака на устройство возможна в виду того, что Coin передает аутентификационный запрос обработчику Stripe, и этот запрос можно перехватить и подделать. Атакующий может загрузить информацию об украденной карте в Coin, перехватить аутентификационный запрос и подделать его, заменив информацию о ворованной карте данными другой действительной карточки. В итоге Stripe «увидит» данные не об украденной карте, а о той, которую покажет мошенник. Так как работающая карта не вызовет подозрений, запрос будет одобрен, Coin получит соответственный токен и сможет оперировать ворованной кредиткой.
Также данный метод можно применять для предсказания номеров карт American Express. Об этой уязвимости недавно рассказал Сэми Камкар. Но если Камкар предлагал соорудить для хранения карт жутковатый DIY-девайс, которым вряд ли можно без подозрений расплатиться в магазине, в случае Coin задача на порядок упрощается.
«Stripe не важно, в каком виде вы присылаете им данные о банковской карте, если это легитимная и действительная карта, они пришлют работающий токен. Преступникам будет намного проще использовать [для своих целей] Coin, ведь тогда им не придется пытаться сконструировать карту, похожую на настоящую», — говорит Филлмор.
Злоумышленник может даже напрямую отредактировать БД Coin, заставив устройство принять украденную карту. В таком случае не понадобится даже аутентификация через Stripe. «Coin заявляют, что они проводят проверку аутентификации. Это неправда. Они доверяют локальной БД», — объясняет исследователь. Провернуть такой взлом будет уже гораздо сложнее – может понадобиться ключ шифрования. Впрочем, исследователь уверяет, что это тоже не проблема, просто потребуется больше времени.
Представители Coin пока отказываются от комментариев. Они сообщили журналистам The Register, что впервые слышат о данной проблеме, и компании «нужно время, чтобы собрать информацию».
Взято с Xakep.ru