Карта FUZE – это карта с поддержкой Bluetooth с дисплеем ePaper, которая может хранить в памяти информацию о 30 реальных кредитных картах. Вы можете запрограммировать кредитные карты через Bluetooth Smart (BLE) с помощью приложения смартфона и использовать его, как обычную кредитную карту, при оплате, после выбора карты, которую хотите использовать. Это удобнее, чем носить многожество карточек и более безопасно, так как часть номера скрыта (отображается в виде звездочек ****), поэтому, в случае, если кто-то получит вашу карту, сделать копию информации, хранящейся на ней будет не легко.
Однако, проблема заключается в том, что согласно ICE9 Consulting существует уязвимость системы безопасности, связанная с возможностью кражи номеров кредитных карт через Bluetooth: CVE-2018-9119.
Полную информацию можно найти в блоге ICE9. Был сделан рентгеновский снимок, чтобы узнать о главных компонентах карты (см. фото, представленное ниже), а также по новой спроектирован протокол Bluetooth с помощью Android-смартфона и программных инструментов, таких как Burp Suite (необязательно), Wireshark + crusty Perl-scripts, и gatttool/BlueZ.
Для получения полной информации о используемом протоколе Bluetooth и о уязвимости устройства, рекомендуем прочесть сообщение в блоге, но вывод заключается в том, что злоумышленник, имеющий доступ к карте FUZE может:
- Обойти блокировку экрана.
- Прочитать номера кредитных карт с датой истечения срока действия и CVV.
- Подделать данные на карте.
Характеристики карты и ее уязвимости представлены на видео ниже.
ICE9 Consulting попыталась связаться с компанией, производящей карту (BrilliantTS), но обратной связи не последовало до тех пор, пока ошибка не была обнародована, и теперь компания планирует 19 апреля внести исправления как в новую прошивку, так и в мобильные приложения.
Уязвимы все карты имеющие прошивку MCU 0.1.73 и прошивку версии 0.7.4. Если у вас есть карта FUZE, позаботьтесь о безопасности и не используйте ее до тех пор, пока ее прошивка не будет обновлена.
Выражаем свою благодарность источнику с которого взята и переведена статья, сайту cnx-software.com.
Оригинал статьи вы можете прочитать здесь.