Nuevos ataques permiten omitir la verificación del PIN de la tarjeta EMV

En un artículo recientemente publicado, David Basin, Ralf Sasse y Jorge Toro-Pozo del departamento de informática de ETH Zurich, explican que las vulnerabilidades identificadas en la implementación estándar de EMV podrían explotarse para inutilizar la verificación del PIN en las transacciones sin contacto de Visa. Desarrollado a mediados de los años 90 y llamado así […]

En un artículo recientemente publicado, David Basin, Ralf Sasse y Jorge Toro-Pozo del departamento de informática de ETH Zurich, explican que las vulnerabilidades identificadas en la implementación estándar de EMV podrían explotarse para inutilizar la verificación del PIN en las transacciones sin contacto de Visa.

Desarrollado a mediados de los años 90 y llamado así por sus fundadores (Europay, Mastercard y Visa), EMV es el estándar internacional para pagos con tarjeta inteligente y se utiliza en más del 80% de las transacciones con tarjeta presente en todo el mundo.

Considerado seguro, el estándar aún está expuesto a vulnerabilidades, principalmente derivadas de fallas lógicas, dicen los investigadores de ETH Zurich. Usando un modelo simbólico construido en Tamarin, los investigadores identificaron fallas que condujeron a dos ataques dirigidos al titular de la tarjeta o al comerciante.

El primer ataque, dicen los investigadores, permite a un adversario realizar compras incluso sin conocer el PIN de la tarjeta, utilizando un teléfono inteligente para realizar el pago. Los académicos crearon una aplicación de Android de prueba de concepto que demuestra la efectividad del ataque en escenarios del mundo real.

En el segundo ataque, se engañaría a la terminal para que aceptara una transacción fuera de línea no auténtica que luego se rechazaría, pero solo “después de que el delincuente se haya llevado los bienes”.

El modelo propuesto toma en consideración los tres elementos presentes en una sesión EMV, el banco, el terminal y la tarjeta. El modelo reveló que el método de verificación del titular de la tarjeta no está autenticado ni protegido criptográficamente contra modificaciones, lo que permite eludir la verificación del PIN mediante una aplicación de Android diseñada.

La aplicación monta un ataque man-in-the-middle, que le dice al terminal que la verificación del PIN se realizó en el dispositivo del consumidor (es decir, el teléfono móvil) y que ya no es necesaria. Por lo tanto, un atacante podría usar tarjetas Visa robadas para transacciones sin contacto sin conocer el PIN de la tarjeta.

“Hemos probado con éxito nuestro ataque de omisión de PIN en terminales del mundo real para una serie de transacciones con tarjetas de la marca Visa, como Visa Credit, Visa Electron y VPay. Como ahora es común que los consumidores paguen con sus teléfonos inteligentes, el cajero no puede distinguir las acciones del atacante de las de cualquier titular legítimo de la tarjeta ”, explican los investigadores.

Además, los académicos descubrieron que, en transacciones sin contacto fuera de línea en las que se utiliza una tarjeta Visa o Mastercard antigua, debido a que la tarjeta no autentica en el terminal el criptograma de aplicación (AC), se puede engañar al terminal para que acepte una tarjeta fuera de línea no auténtica. transacción. El criptograma incorrecto se identificaría mucho más tarde, cuando el adquirente envíe los datos de la transacción.

“Nuestro análisis reveló diferencias sorprendentes entre la seguridad de los protocolos de pago sin contacto de Mastercard y Visa, lo que demuestra que Mastercard es más segura que Visa. No encontramos problemas importantes con la versión del protocolo Mastercard que se ejecuta en tarjetas modernas. […] En contraste, Visa sufre de varios problemas críticos ”, se lee en el documento de investigación .

Los investigadores revelan que solo usaron sus propias tarjetas para realizar los experimentos y que Visa ha sido informada de los hallazgos. También propusieron arreglos que pueden aplicar tanto los bancos como Visa, y dicen que estos arreglos no requieren cambios en el estándar EMV en sí.