Кредитная карта FUZE с поддержкой беспроводных сетей уязвима для взлома по Bluetooth


Карта FUZE — это карта с поддержкой Bluetooth с дисплеем ePaper, которая может хранить в памяти информацию о 30 реальных кредитных картах. Вы можете запрограммировать кредитные карты через Bluetooth Smart (BLE) с помощью приложения смартфона и использовать его, как обычную кредитную карту, при оплате, после выбора карты, которую хотите использовать. Это удобнее, чем носить многожество карточек и более безопасно, так как часть номера скрыта (отображается в виде звездочек ****), поэтому, в случае, если кто-то получит вашу карту, сделать копию информации, хранящейся на ней будет не легко.

Однако, проблема заключается в том, что согласно ICE9 Consulting существует уязвимость системы безопасности, связанная с возможностью кражи номеров кредитных карт через Bluetooth: CVE-2018-9119.

Полную информацию можно найти в блоге ICE9. Был сделан рентгеновский снимок, чтобы узнать о главных компонентах карты (см. фото, представленное ниже), а также по новой спроектирован протокол Bluetooth с помощью Android-смартфона и программных инструментов, таких как Burp Suite (необязательно), Wireshark + crusty Perl-scripts, и gatttool/BlueZ.

Для получения полной информации о используемом протоколе Bluetooth и о уязвимости устройства, рекомендуем прочесть сообщение в блоге, но вывод заключается в том, что злоумышленник, имеющий доступ к карте FUZE может:

  1. Обойти блокировку экрана.
  2. Прочитать номера кредитных карт с датой истечения срока действия и CVV.
  3. Подделать данные на карте.

Характеристики карты и ее уязвимости представлены на видео ниже.

ICE9 Consulting попыталась связаться с компанией, производящей карту (BrilliantTS), но обратной связи не последовало до тех пор, пока ошибка не была обнародована, и теперь компания планирует 19 апреля внести исправления как в новую прошивку, так и в мобильные приложения. 

Уязвимы все карты имеющие прошивку MCU 0.1.73 и прошивку версии 0.7.4. Если у вас есть карта FUZE, позаботьтесь о безопасности и не используйте ее до тех пор, пока ее прошивка не будет обновлена.

Выражаем свою благодарность источнику с которого взята и переведена статья, сайту cnx-software.com.

Оригинал статьи вы можете прочитать здесь.

Комментарии:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.