Yaakov's Group | Ciberseguridad

Man-in-the-Middle Attack Makes PINs Useless for VISA Cards

Comparte este post en tus redes sociales

El protocolo EMV es vulnerable a un ataque man-in-the-middle
Todas las tarjetas de crédito VISA se ven afectadas
VISA tiene que emitir actualización para terminales POS

Los investigadores de seguridad suizos han descubierto una forma de evitar la autenticación con PIN para las transacciones sin contacto de Visa. Un error en los protocolos de comunicación permite a los atacantes montar un ataque man-in-the-middle sin ingresar el código PIN.

EMV es el protocolo utilizado por los principales bancos e instituciones financieras del mundo. Europay, Mastercard y Visa desarrollaron el estándar y existe desde hace más de 20 años. Es lógico que EMV sea uno de los protocolos de comunicación más examinados, pero la investigación suiza muestra que cualquier software o hardware puede tener vulnerabilidades.

La razón más importante para la adopción generalizada del protocolo EMV tiene que ver con el «cambio de responsabilidad», un procedimiento que garantiza que, siempre que el cliente apruebe la transacción con un PIN o una firma, la institución financiera no es responsable.

Los investigadores utilizaron una aplicación llamada Tamarin, desarrollada explícitamente para probar la seguridad de los protocolos de comunicación. Crearon un modelo de trabajo que cubre todos los roles en una sesión EMV regular: el banco, la tarjeta y el terminal.

“Utilizando nuestro modelo, identificamos una violación crítica de las propiedades de autenticación por el protocolo sin contacto de Visa: el método de verificación del titular de la tarjeta utilizado en una transacción, si lo hay, no está autenticado ni protegido criptográficamente contra modificaciones”, dicen los investigadores en su artículo.

«Desarrollamos una aplicación de Android de prueba de concepto que aprovecha esto para eludir la verificación del PIN mediante el montaje de un ataque de intermediario que indica al terminal que la verificación del PIN no es necesaria porque la verificación del titular de la tarjeta se realizó en el dispositivo del consumidor, » ellos continuaron.

Los delincuentes pueden usar una tarjeta VISA robada y pagar bienes sin acceso al PIN, lo que hace que el PIN sea completamente inútil. Un escenario del mundo real probó las tarjetas Visa Credit, Visa Electron y VPay, y tuvo éxito. Por supuesto, el ataque utilizó una billetera virtual en lugar de una tarjeta, ya que el terminal no puede distinguir entre una tarjeta de crédito real y un teléfono inteligente.

Los investigadores descubrieron otro problema que afectaba a VISA y algunos modelos más antiguos de tarjetas Martercard, además del problema inicial.

“La tarjeta no autentica en el terminal el criptograma de aplicación (AC), que es una prueba criptográfica de la transacción producida por la tarjeta que el terminal no puede verificar (solo el emisor de la tarjeta puede hacerlo)”, dicen los investigadores. «Esto permite a los delincuentes engañar al terminal para que acepte una transacción fuera de línea no auténtica».

La única buena noticia entregada por los investigadores es que la solución no requiere una actualización para el estándar EMV, solo actualizaciones para el terminal. Dado que hay alrededor de 161 millones de terminales POS en todo el mundo, el proceso de actualización será largo.

Fuente: Hot For Security

Deja un comentario