Rynek kart płatniczych już podjął decyzję. Zarówno Mastercard jak i Visa bardzo intensywnie promują karty zbliżeniowe. Trudno dzisiaj otrzymać kartę płatniczą bez układu zbliżeniowego. Wraz ze wzrostem popularności kart wzrasta też ryzyko ich używania.
Jeszcze całkiem niedawno w demonstracjach pokazujących, jak łatwo odczytać na odległość kartę zbliżeniową i użyć skradzionych w ten sposób danych, wykorzystywany był sprzęt zbudowany specjalnie w tym celu. Nie były to drogie rozwiązania, jednak wymagały od eksperymentatorów zdolności technicznych, co stanowiło skuteczną barierę „wejścia na rynek”. Wraz ze wzrostem popularności płatności zbliżeniowych oraz urządzeń je obsługujących pojawiły się jednak nowe zagrożenia – zupełnie innej kategorii.
Kieszonkowiec w telefonie
By przeprowadzić atak na kartę zbliżeniową potrzebne są trzy elementy. Jeden to układ obsługujący komunikację bezprzewodową w odpowiednim standardzie, drugi to komputer, odpowiedzialny za obsługę komunikatów a trzeci to odpowiednie oprogramowanie. Od niedawna komponenty pierwszy i drugi stały się powszechnie dostępne – na rynku pojawia się coraz więcej telefonów, obsługujących transakcje NFC. Nie trwało długo, zanim pojawiło się odpowiednie oprogramowanie.
Jedną z aplikacji, potrafiących odczytać numer karty i jej datę ważności, jest Electronic Pickpocket. Aplikacja posiada wbudowane ograniczenie – wyświetla jedynie fragment numeru karty, by nie ułatwiać zadania elektronicznym złodziejom. Nie da się jednak ukryć, że działa dokładnie tak, jak powinna – po kontakcie z kartą prawidłowo wyświetla jej dane.
Inną aplikacją o podobnej funkcjonalności jest Kreditkarten/GeldKarte-Reader, właśnie usunięta ze sklepu Google Play (tu mirror strony sklepu, a tu możliwość pobrania aplikacji z innego repozytorium).
W sklepie Google Play znajdują się także aplikacje NFC TagInfo by NXP czy NFC TagInfo, które wg ich twórców umożliwiają np. odczyt zawartości karty miejskiej lub innych nadajników RFID. Niewykluczone, iż ich możliwości pozwolą również na odczytanie danych karty płatniczej.
Na szczęście…
Na całe szczęście układy komunikacyjne NFC implementowane w telefonach mają bardzo mały zasięg działania – aby dokonać odczytu niezbędny jest praktycznie kontakt fizyczny z kartą. Dodatkowo do tej pory nie została opublikowana aplikacja, która umożliwia nie tylko odczytanie numeru karty, ale także odczytanie z niej danych transakcyjnych, które można później wykorzystać do przeprowadzenia nieautoryzowanego zakupu. Nie ulega jednak wątpliwości, że prędzej czy później takie programy się pojawią. Wraz ze wzrostem popularności telefonów z NFC wzrośnie też zapewne sprzedaż ochronnych portfeli na karty zbliżeniowe.
Komentarz
Z tymi portfelami bym nie przesadzał. To co da się z czytać wystarczy do jednej transakcji, a jeszcze trzeba ją mieć jak przeprowadzić.