Очередная «уязвимость бесконтактных карт российских банков» не подтвердилась

Эксперты компании АЛИОТ поделились своим профессиональным мнением в свежей статье, размещенной на PLUSworld.ru.

7a36fbb8989081c0bd328478cf8200d3

Напомним, что на прошлой неделе в средствах массовой информации распространялась новость о том, что бесконтактные карты MasterCard PayPass и Visa payWave, эмитированные российскими банками, якобы «оказались уязвимы». Сообщалось, что «уязвимость» заключается в том, что при помощи мобильного приложения EMV NFC Pay Card Reader, доступного в Google Play, можно, вплотную приложив карту к смартфону, считать данные о номере карты и 10 последних транзакциях (вернее, только об их дате и сумме). В распространенной информации также акцентировалось внимание на том, что якобы американские и европейские карты данная уязвимость не затронула, и «поэтому, скорее всего, проблема кроется в настройках безопасности отечественных банков».

Редакция информационного портала PLUSworld.ru с самого начала усомнилась в том, что приведенные выше данные могут говорить о какой-либо «уязвимости бесконтактных карт». Во-первых, на основании одного только номера карты (который может и без приложения видеть любой кассир) нельзя сделать дубликат карты для незаконного использования. Во-вторых, данные о сумме и дате последних десяти транзакций также, даже в теории, ничего не могут дать мошенникам. В-третьих, случай, когда держатель карты отдает ее в руки незнакомому лицу для подобного «сканирования» смартфоном с установленным для этого приложением (напомним, карту нельзя считать, находясь в 20 см от нее, для этого необходимо, как минимум, приложить карту к устройству), вряд ли можно считать сколько-нибудь вероятным. Если же произошла утрата (кража или потеря) карты, которая в результате оказалась в руках преступника, то в таком случае, обладая и номером, и кодом CVV2\CVC, мошеннику не нужно предпринимать каких-либо усилий для того чтобы получить номер карты – он уже есть у него.

Тем не менее, мы обратились за подтверждением наших соображений к экспертам отрасли, а также попытались выяснить, кто же «несет ответственность» за саму возможность считывания упомянутых выше данных с помощью мобильного приложения.

Игорь Голдовский, с недавних пор входящий в топ-менеджмент ОАО «НСПК», подтверждает, что «среди данных транзакций в считываемом смартфоном лог-файле карты присутствуют только размер, валюта и дата транзакции, а также результаты проверки приложения карты. При этом в результатах считывания нет типа покупки и названия магазина (правда, название магазина и его местоположение встречается в логе транзакции в последних версиях платежных приложений, например, в M/Chip Advance). Сами записи лог-файла перезаписываются после накопления в нем некоторого количества записей (обычно 10 записей). Лог-файл является общим в платежном приложении для контактного и бесконтактного интерфейсов и добраться до него можно через любой терминал, в котором будет обслуживаться карта».

И. Голдовский также заявляет, что в теории третья сторона может выяснить и каким-то образом использовать, например, данные по объему совершенных по карте 10 операций, но ущерб для держателя карты от утечки этой информации в общем случае минимальный и несоизмерим с пользой для того же держателя карты от использования лог-файла транзакций карты. Кроме того, продолжает он, «компетентные органы» всегда смогут получить информацию о всех расходах клиента по банковской карте от эмитента карты, но для мошенников польза от получения информации о размерах последних операций клиента по карте – весьма сомнительна». Он также добавляет, что «во многих платежных приложениях существует также возможность дезактивации функции записи транзакций в лог-файл (например, в приложениях MasterCard с помощью соответствующей конфигурации объекта Application Control). В этом случае мошенникам будет недоступна даже и та обрывочная и в целом бесполезная для них информация о 10 последних транзакциях, которую возможно считать сейчас». Для наиболее щепетильных в отношении к своей личной информации клиентам банк может отключить возможность записи данных в лог-файл в процессе использования карты (с помощью скриптовой команды Put Data эмитента) – уточняет он.

Федор Князев, технический директор компании-производителя платежных карт «АЛИОТ», заявил, что в компании провели свой собственный эксперимент с приложением EMV NFC Pay Card Reader и картами различных банков на различных технологических платформах. Данный эксперимент подтвердил, по его словам, что считывается приблизительно каждая десятая банковская карта, причем вывода о том, что карты, эмитируемые за рубежами РФ, не считываются, сделать нельзя. Так, по словам Ф. Князева, в ходе эксперимента была успешно считана банковская карта с чипом известного зарубежного вендора, выпущенная за рубежом (где она персонализирована – неизвестно). Приложением считывается: сам номер карты, Срок действия, CARD ID, Application, Pin try left, Card Issuer (в этом поле программа выдает данные, не соответствующие действительности) и 10 последних сумм транзакций, показывается принадлежность платежного приложения к той или иной платежной системе.

Однако, по мнению технического директора «АЛИОТ», придавать какое-либо существенное значение данным подобных экспериментов, и тем более превращать это в некую «сенсацию» – не стоит. Дело в том, что любое персонализационное бюро (независимое или являющееся подразделением банка) записывает на сам микропроцессор данные, поданные самим банком и обязательно – валидированные платежной системой. Соответственно, если банк, согласно какой-либо внутренней бизнес-логике, считает необходимым записать во внутреннюю область чипа данные transaction log – 10 последних сумм транзакций, то это его пожелание никак не противоречит правилам международных платежных систем и согласовано с ними. Причем все это касается как карт с бесконтактным, так и с контактным интерфейсом (в последнем случае эти данные также могут быть считаны контактным кард-ридером с соответствующим ПО).

Можно констатировать, говорит эксперт, что при опросе карты приложением считываются данные только для MagStripe PayPass (эксперимент проводился на дуальной карте MasterCard), после чего происходит чтение записей лога транзакций. Как известно CVC3 для магнитных бесконтактных карт генерируется для каждой транзакции и не записывается на карту. Таким образом, приложение EMV NFC Pay Card Reader не читает данные для совершения полноценной EMV транзакции – резюмирует технический директор «АЛИОТ».

Федор Князев также подчеркивает, что третье лицо (потенциальный мошенник), получившее доступ с помощью приложения EMV NFC Pay Card Reader, доступного в Google Play, к упомянутым данным (номер карты и лог из 10 последних транзакций) не сможет никаким образом эту информацию использовать. Таким образом, говорить об «уязвимости» или «баге», тем более присущем якобы «только российским картам» абсолютно некорректно – делает вывод эксперт.

То, что данная опция (записи лог-файла на чип карты) вполне соответствует правилам безопасности международных платежных систем, подтверждает и комментарий, полученный от международной платежной системы MasterCard: «Применяемые платёжные технологии, и в том числе бесконтактная технология строго соответствуют отраслевому стандарту EMV. Важно понимать, что средства держателя карты находятся под надёжной защитой: для совершения транзакции требуется определённый набор данных (информация о сумме покупок не имеет к нему никакого отношения, а только номера карты для совершения транзакции недостаточно), а для защиты средств держателя карты применяются различные средства активной и пассивной безопасности, обеспеченные как платёжной системой, так и банком – эмитентом карты. Только один пример – в бесконтактной технологии MasterCard PayPass используется многоуровневая система защиты операций, при которой для каждой транзакции генерируется уникальный код, который невозможно подделать или использовать повторно.

Редакция портала PLUSworld.ru делает на основании всего вышесказанного закономерный вывод, что в данном случае мы имеем дело с очередной псевдосенсацией на тему «бесконтактные карты небезопасны» (некоторые эксперты ранее даже предлагали «оборачивать их фольгой»), которые периодически распространяются в СМИ и связаны с недостаточным и неглубоким пониманием технологии карточных платежей, и бесконтактных платежей в частности.

По материалам PLUSworld.ru

Носимые устройства

NFC-таблички – новый этап в развитии безналичных способов приёма оплаты в России через систему быстрых платежей (СБП).