Investigadores de la Escuela Técnica Superior Suiza de Zúrich encontraron una vulnerabilidad precisamente en el método de autorización de pagos sin contacto utilizado en las tarjetas de pago Visa. Le permite ir más allá del límite de transacciones sin ingresar un PIN. Esto significa que, en caso de robo, los atacantes pueden pagar con tarjeta un producto muy caro.
Un detalle interesante se nota en el video de PoC: se usan dos teléfonos inteligentes, uno lee los datos de una tarjeta de crédito y el otro se lleva a un terminal de pago. Se supone que ni siquiera es necesario robar la tarjeta, basta con besar con éxito la tarjeta de crédito en el momento adecuado. Anteriormente, estos ataques al sistema de pago sin contacto eran simplemente poco prácticos. Siguen siendo así, pero la investigación los hace un poco más peligrosos de lo que nos gustaría.
Aún no se ha publicado un estudio detallado sobre el tema: los investigadores prometen enviar el trabajo con todos los detalles a partir de mayo de 2021. Hasta el momento se conoce lo siguiente: la vulnerabilidad radica en la posibilidad de cambiar el estado de la tarjeta de pago, que se transmite al entrar en contacto con el terminal. Más precisamente, hay dos estados: uno informa al terminal que no se requiere la entrada del código PIN, el segundo, que la tarjeta está autorizada en el dispositivo del usuario (por ejemplo, en un teléfono inteligente). Por lo general, la combinación de estos indicadores hará que el terminal solicite un PIN. En un escenario de ataque, un teléfono inteligente lee los datos de una tarjeta, los transfiere a otro teléfono inteligente y los modifica en el proceso. El límite para los pagos sin contacto en Suiza es de CHF 80 (€ 74 en el momento de la publicación). Los investigadores realizaron un pago de 200 francos sin autorización, aprovechando la vulnerabilidad descubierta.
Lo más probable es que muchas tarjetas de crédito y débito Visa sean vulnerables. También es posible que el cambio de estado sea posible en las tarjetas de los sistemas Discover y Union Pay. Las vulnerabilidades no se ven afectadas por las tarjetas Mastercard (excepto por las primeras sin contacto), ya que el estado que le permite evitar la necesidad de ingresar un PIN no se puede cambiar sobre la marcha. Los propios investigadores no saben si todas las tarjetas, o solo algunas, o ciertos bancos durante un cierto período de tiempo se ven afectadas. Las recomendaciones son simples: no pierda su tarjeta y use una billetera que aísle las comunicaciones inalámbricas por radio. De acuerdo, no se requiere una billetera, pero es mejor no perder su tarjeta.
Que mas paso
El próximo parche para las soluciones de Microsoft cierra 129 vulnerabilidades, 23 de ellas críticas. Uno de los problemas más graves se encontró en el servidor de Microsoft Exchange. Un atacante puede ejecutar código arbitrario con altos privilegios en el servidor de correo enviando un mensaje preparado.
El parche mensual para Android cerró el error 53, incluido el siguiente agujero en Media Framework.
Reposición en una serie de vulnerabilidades en el protocolo Bluetooth. El error BLURtooth le permite conectarse a dispositivos cercanos con Bluetooth 4.0 y 5.0 sin autorización.
Suscriptores de correo electrónico y boletines informativos La vulnerabilidad del complemento de Wordpress amenazacientos de miles de sitios. La autorización incorrecta le permite utilizar el servidor de correo para enviar spam.
Un desarrollo interesante sobre el tema de los ataques contra Office 365: en una campaña de phishing, notaron un mecanismo para validar los datos ingresados por una víctima en un sitio falso en tiempo real. Es decir, su nombre de usuario y contraseña no solo serán robados, sino que también se le informará cortésmente si cometió un error tipográfico al escribir.
Los investigadores de seguridad informan de un ataque a las puertas de enlace VoIP basadas en Linux. Los atacantes buscan el historial de llamadas.
Razer, un fabricante de computadoras portátiles, computadoras para juegos y accesorios, tiene 100,000 datos de clientes robados .
Los desarrolladores del servicio de videoconferencia Zoom han implementado la autenticación de dos factores.