Уязвимость в EMV - диплом британского студента

[Lucky]

В конце прошлого декабря в интернетах появилась информация о уязвимости при обслуживании EMV- карт, обнаруженной британским студентом.
Есть вот такая обрывочная статейка http://www.xakep.ru/post/54445/default.asp
Жаль, что без подробностей
Кто что слышал по этому поводу?

[kentaur]

Я выплачивается один раз через POS с чип-карта. Хотя я входил PIN-код, я понял, что это неправильно. Я хотела нажать кнопку "Очистить ", чтобы стереть неправильные номера, но случайные нажатия "Отмена". Вместо отмены сделки, POS обрабатываются сделки с успехом! Какой-то парень из программирования, который работает в приложениях POS пояснил, что для чип-карт POS могут быть настроены на прием операций без PIN-кода, если вы установите специальный ключ для этой функции. В моем случае, что ключ "CANCEL ".
Они используют эту функцию, потому что это говорит, что чип-карт очень трудно мошенничества.

Спойлер

I payed once through a POS with a chipcard. While I was entering the PIN, I realised it was wrong. I wanted to press "Clear" to erase the wrong numbers, but accidentally pressed "Cancel". Instead of cancelling the transaction, the POS processed the transaction with success! Some guy from programming who works at POS apps explained that for chip cards the POS can be set to accept transactions without PIN if you set a special key for that function. In my case, that key was "CANCEL".
They use this feature because it is said that chip-cards are very hard to fraud.

[Lucky]

Вот что нарыла: http://prezi.com/1iqzzl-ubbvs/chip-and-pin-is-broken/ и http://www.cl.cam.ac.uk/~sjm217/papers/ ... broken.pdf.
Но все на иностранном опубликовано My English is bad.

[kentaur]

очень интересно документы.
Мой переводчиков также не работают все время
Жаль, что мы не говорим все на одном языке

[shket]

я так понял, приходишь с чужой картой в магаз, отдаешь карту (при условии что не проверяют документы), вводишь на зпрос пина 0000 и вуаля - транзакция выполнена успешно.

то есть получается как: карта думает, что транзакция была проведена при помощи проверки подлинности подписи (пин вводить не надо), а терминал думает, что верификация была проведена с помощью пина. это происходит потому, что у карты и у терминала разные методы верификации. у карты CVR(card verification results) а у терминала CVMR (cardholder verification method result) и эти методы по идее должны сравниваться (на этом построена защита). но они могут не сравниваться по трем причинам: иногда CVMR не установлена на терминале (эта функция идет как опция); иногда не сравнивается из-за плохой связи; иногда (sometimes it is produced but wrong (it has not been considered useful, until now)) [не знаю как корректно перевести ]

[Kolobok]

Да в принципе в торговых терминалах и щас можно карту с чипом вставить и отказаться от ввода пароля. Продавцы мало кто смотрит что покупатель отказался от пинкода нажимают зеленую кнопочку и все:). Не раз так проверял будут обратят ли внимание на то что покупатель не ввел пароль, и что написал терминал .

[ALuKaRD]

Ага, кто прошивал POS терминалы наверное замечали, что ставя новую прошивку (и не только), и проводя пробную операцию ( было еще летом, удивился ) то терминал не запрашивает ПИН код, а просто одобряет операцию, которая разумеется проходит успешно. Ключи прогружены без сомнения и обновлены. Как ни странно, было не везде, хотя шаблон настроек один, редко когда менял. Экспериментировал много, много удивлялся, что можно делать. Тогда я работал еще первые месяцы и как то особо не обращал на это внимание. Возможно щас уже данный баг убрали, не проверял, давно POSами не занимаюсь. Однако интересно...

[Schumacher]

Да, это точно косяк. Тем более продавцы не всегда смотрят на чек. Полезло чего-то - значит операция прошла.
shket, так можно не обязательно 0000 вводить, можно с умным видом набрать 4 разных цифры и незаметно ткнуть на красную. И если на карте бабульки есть, то вылезет чек ОПЛАТА, правда с дополнительной полосой для подписи клиента, но она не особо заметная...
В этом случае получается, что чипованные карты даже не безопасней простых электронных

[shket]

Надо будет проверить))