Sebezhetőséget találtak a bankkártyákban
A csipes bankkártyák sokkal biztonságosabbnak számítanak, mint a korábban egyeduralkodó mágnescsíkos megoldás, de megint bebizonyosodott, hogy azzal önmagában nem pipálható ki a biztonságos fizetés kérdése, ha minden kártyába belenyomnak egy csipet. Amerikai kutatók olyan sebezhetőséget találtak, amellyel a hekkerek elhitethetik a kártyaolvasó terminállal, hogy a kártyában nincs is csip, ezért kénytelen a mágnescsíkra hagyatkozni.
A bankkártyák csipjeiben a gyártók világszerte az EMV nevű sztenderdet használják. Amerikában viszont a csipes bankkártyák messze nem olyan elterjedtek, mint Európában, az átállás még éppen jelenleg van folyamatban – és a vásárlóiknak bankkártyás fizetést kínáló cégek ennek nem kifejezetten örülnek, mivel részükről ez elég költséges beruházással, összesen 25 milliárd dollárral jár.
A kompatibilitás kedvéért a kártyákon továbbra is van mágnescsík, de az a terminál kérdésére alapesetben azt kell, hogy válaszolja, hogy a csipet használja a fizetéshez. A sebezhetőség lényege, hogy a hekkerek át tudják programozni a mágnescsíkot, hogy ne ezt mondja, hanem viselkedjen úgy, mintha a csip továbbra se létezne. Ezt azért tudják megtenni, mert a kártyák és az olvasók közötti kommunikációt az üzletek nem titkosítják, így egészen könnyű hozzáférni.
Ezen az se segít, hogy a terminálok gyártói se kapcsolják be alapértelmezetten a titkosítást – pedig a technológia bele van építve az eszközökbe –, a terminálokat értékesítő és beszerelő cégek pedig gyakran extra díjat kérnek azért, hogy ezt megtegyék.
A hibát az NCR nevű fizetési technológiákkal foglalkozó cég biztonsági szakemberei mutatták be a Black Hat nevű hekkerkonferencián. Ők a cégeknek a titkosítás bekapcsolását javasolják, a vásárlóknak pedig azt, hogy ha lehetőségük van, inkább mobilappon vagy okosórán keresztül fizessenek.