Scoperta per la seconda volta una vulnerabilità nella sicurezza delle carte di credito
L'anno scorso, i ricercatori del Fare ricerca all'ETH avevano scoperto per la prima volta una vulnerabilità in alcune carte di credito. Ora sono riusciti a superare il codice PIN di altre carte di pagamento.
Il pagamento senza contatto con carte di credito e di debito è facile e veloce, ed è particolarmente utile in tempi di pandemia. Al di sopra di un certo importo, di solito 80 franchi in Svizzera, è necessario inserire un codice PIN per motivi di sicurezza. Almeno in teoria. Tuttavia, come hanno dimostrato tre ricercatori dell'Information Security Group dell'ETH di Zurigo, questa barriera di sicurezza può essere aggirata con alcune carte. Nell'estate 2020, utilizzando come esempio le carte Visa, hanno documentato per la prima volta che il codice PIN può essere superato (vedi l'ETH News del 1.9.2020). I ricercatori hanno ora annunciato che ciò è possibile anche con altri tipi di carte di pagamento, in particolare Mastercard e Maestro.
Il metodo utilizzato dai ricercatori si basa, tra l'altro, sul principio del "man-in-the-middle". L'aggressore manipola lo scambio di dati tra due partner di comunicazione, in questo caso tra la carta e il terminale della carta. I ricercatori hanno avuto bisogno di un'applicazione Android appositamente creata e di due telefoni cellulari abilitati all'NFC. L'app segnalava falsamente al terminale della carta che, in primo luogo, non era richiesto il PIN e, in secondo luogo, che il titolare della carta era stato verificato. In una prima fase, il metodo ha funzionato solo con le carte Visa, poiché gli altri fornitori utilizzano un protocollo diverso (un verbale regola la trasmissione dei dati).
Barriera di sicurezza superata due volte
A prima vista, l'idea alla base del secondo trucco del codice PIN sembra semplice: "Il nostro metodo fa credere al terminale che una carta Mastercard sia una carta VISA", spiega Jorge Toro, collaboratore della cattedra di sicurezza delle informazioni e uno degli autori dell'articolo. In realtà, questo metodo è molto più complesso di quanto sembri, aggiunge l'informatico. Per funzionare, devono essere eseguite contemporaneamente due sessioni. Una transazione Visa viene effettuata con il terminale della carta, mentre una transazione Mastercard viene effettuata con la carta. I ricercatori hanno utilizzato questo metodo con due carte di credito Mastercard e due carte di debito Maestro di quattro banche diverse.
I ricercatori hanno contattato Mastercard subito dopo la scoperta. Sono stati anche in grado di dimostrare sperimentalmente che le precauzioni adottate da Mastercard erano efficaci. "Il dialogo con l'azienda è stato piacevole e stimolante", afferma Jorge Toro. Mastercard ha adattato le precauzioni di sicurezza e ha chiesto ai ricercatori di riprovare l'attacco. Questa volta è fallito. I ricercatori presenteranno il documento con una descrizione dettagliata del metodo al simposio "USENIX Security '21" in agosto.
Lo standard EMC come fonte di errore
Le lacune nella sicurezza delle carte di pagamento contactless descritte sopra sono principalmente legate al cosiddetto standard EMV, uno standard di protocollo internazionale su cui si basano queste carte. Gli errori logici in questo insieme di regole sono difficili da trovare, se non altro per la sua lunghezza di oltre 2.000 pagine. I ricercatori del Fare ricerca all'ETH sottolineano sul sito web del progetto che questi sistemi devono essere sempre più controllati automaticamente, perché sono troppo complessi per l'uomo.