Карты российских банков оказались уязвимы перед NFC-читалкой для Android

При помощи приложения «EMV NFC pay card reader», доступного бесплатно в магазине Google Play, можно по прикосновению читать данные о транзакциях карт PayPass и payWave российских банков. Об этом пишет TJournal со ссылкой на менеджера проектов «Яндекса» Антона Волнухина.
 
Приложение NFC-читалки для Android смогло прочитать данные с карт PayPass (Mastercard) и payWave (Visa) о совершённых транзакциях без какой-либо авторизации и отобразило их список на смартфоне. В информации об операциях говорилось только о номере карты, дате и сумме совершённого платежа, но не о назначении.
По словам Волнухина, он проверил уязвимость на имеющихся у него картах PayPass и выяснил, что она затронула только те, что были выпущены российскими банками. Американские и европейские кредитки уязвимость не затронула, поэтому он предположил, что проблема кроется в настройках безопасности отечественных банков.
С подобной проблемой столкнулись и другие участники русскоязычного сообщества сервиса микроблогов Friendfeed. Они сообщили, что таким образом можно прочитать данные не только по бесконтактным, но и по обычным транзакциям, совершенным без NFC. Проверки проводились на картах «Райффайзенбанка», «Альфа-Банка», «Тинькофф Кредитные Системы» и «Ситибанка», то же самое произошло и с картой от «Яндекс.Денег».
Некоторые пользователи сообщили, что приложение показало им не все транзакции, а только часть. У одного из них они показывались вразнобой, а у другого отобразились только те, у которых сумма платежа была меньше 2 тысяч рублей. Для зарубежных карт информация в приложении не отображалась.
В комментариях предположили, что NFC-читалка может «сливать» полученные от считывания карт данные, но по словам автора обсуждения после изучения исходных кодов приложения эта информация не подтвердилась.
Хотя таким образом и нельзя узнать, на что тратил деньги владелец карты, уязвимость может быть серьёзным нарушением частной жизни. Автор обсуждения на Friendfeed привёл анекдотичный пример: официантка или кассир, пробивающая чек, видит, сколько вы тратите и может потребовать солидных чаевых.

Подробнее у источника: ИАЦ Известия

---

---