O padrão EMV dos cartões de pagamento, lançado em 1994, ainda tem falhas para serem resolvidas: na semana passada, pesquisadores do Instituto Federal de Tecnologia de Zurique acharam duas que permitem a ataques tanto contra o titular do cartão quanto contra o comerciante. David Basin, Ralf Sasse e Jorge Toro-Pozo, do departamento de Ciência da Computação do instituto, publicaram um artigo mostrando que as vulnerabilidades podem ser exploradas para contornar a verificação do PIN em transações sem contato Visa e para levar mercadorias sem pagar.
Os pesquisadores usaram para a experiência um modelo simbólico, construído numa máquina virtual Tamarin, específica para pesquisa em protocolos. O primeiro ataque, dizem os pesquisadores, permite que uma pessoa faça compras mesmo sem saber o PIN do cartão, usando um smartphone para fazer o pagamento. Os estudiosos criaram um aplicativo Android como prova de conceito demonstrando a eficácia do ataque em cenários do mundo real.
Veja isso
Quadrilha copiou dados de 3 milhões de cartões em São Paulo e Minas Gerais
Hackers usam o Google Analytics para roubar cartões de crédito
No segundo ataque, o terminal seria induzido a aceitar uma transação off-line não autêntica, que mais tarde seria recusada, mas apenas “depois que o criminoso saiu com as mercadorias”.
O modelo proposto leva em consideração os três elementos presentes em uma sessão EMV: o banco, o terminal e o cartão. O modelo revelou que o método de verificação do titular do cartão não é autenticado nem protegido criptograficamente contra modificação, permitindo, assim, ignorar a verificação de PIN usando um aplicativo Android.
O aplicativo faz um ataque man-in-the-middle, informando ao terminal que a verificação do PIN foi realizada no dispositivo do consumidor (ou seja, o telefone celular) e não é mais necessária. Assim, um invasor pode usar cartões Visa roubados para transações sem contato sem saber o PIN do cartão.
“Testamos com sucesso nosso ataque de desvio de PIN em terminais do mundo real para uma série de transações com cartões da marca Visa, como cartões Visa Credit, Visa Electron e VPay. Como agora é comum os consumidores pagarem com seus smartphones, o caixa não consegue distinguir as ações do invasor daquelas de qualquer titular legítimo ”, explicam os pesquisadores.
Além disso, os acadêmicos descobriram que, em transações offline sem contato, nas quais um cartão Visa ou Mastercard antigo é usado, porque o cartão não autentica no terminal o Criptograma de Aplicativo (AC), o terminal pode ser enganado para aceitar uma transação offline não autêntica. O criptograma errado seria identificado muito mais tarde, quando o adquirente enviasse os dados da transação.
“Nossa análise revelou diferenças surpreendentes entre a segurança dos protocolos de pagamento sem contato da Mastercard e Visa, mostrando que a Mastercard é mais segura do que a Visa. Não encontramos problemas importantes com a versão do protocolo Mastercard […] Em contraste, a Visa sofre de vários problemas críticos ”, diz o artigo.
Os pesquisadores revelam que usaram apenas seus próprios cartões para realizar os experimentos e que a Visa foi informada dos resultados. Eles também propuseram correções que tanto os bancos quanto a Visa podem aplicar, e dizem que essas correções não exigem mudanças no próprio padrão EMV.
Com agências internacionais
