Des chercheurs de l'École technique supérieure suisse de Zurich ont trouvé une vulnérabilité précisément dans la méthode d'autorisation des paiements sans contact utilisée dans les cartes de paiement Visa. Il vous permet d'aller au-delà de la limite de transactions sans entrer de code PIN. Cela signifie qu'en cas de vol, les attaquants peuvent payer avec une carte pour un produit très coûteux.
Un détail intéressant est perceptible sur la vidéo PoC: deux smartphones sont utilisés, l'un lit les données d'une carte de crédit, l'autre est acheminé vers un terminal de paiement. On suppose qu'il n'est même pas nécessaire de voler la carte, il suffit d'embrasser avec succès la carte de crédit au bon moment. Auparavant, de telles attaques contre le système de paiement sans contact étaient tout simplement impraticables. Ils restent ainsi, mais la recherche les rend un peu plus dangereux que nous le souhaiterions.
Une étude détaillée sur le sujet n'a pas encore été publiée - les chercheurs promettent de soumettre le travail avec tous les détails dès mai 2021. Jusqu'à présent, on sait: la vulnérabilité réside dans la possibilité de changer le statut de la carte de paiement, qui est transmise au contact du terminal. Plus précisément, il existe deux états: l'un informe le terminal que la saisie du code PIN n'est pas nécessaire, le second - que la carte est autorisée sur l'appareil de l'utilisateur (par exemple, sur un smartphone). En général, une combinaison de ces indicateurs amènera le terminal à demander un code PIN. Dans un scénario d'attaque, les données d'une carte sont lues par un smartphone, transférées vers un autre smartphone et modifiées dans le processus. La limite des paiements sans contact en Suisse est de 80 CHF (74 € au moment de la publication). Les chercheurs ont effectué un paiement de 200 francs sans autorisation, profitant de la vulnérabilité découverte.
Très probablement, de nombreuses cartes de crédit et de débit Visa sont vulnérables. Il est également possible que la substitution de statut soit possible sur les cartes des systèmes Discover et Union Pay. Les vulnérabilités ne sont pas affectées par les cartes Mastercard (à l'exception des premières sans contact), car là, le statut qui vous permet de contourner la nécessité de saisir un code PIN ne peut pas être modifié à la volée. Les chercheurs eux-mêmes ne savent pas si toutes les cartes, ou seulement certaines, ou certaines banques pendant une certaine période de temps sont affectées. Les recommandations sont simples: ne perdez pas votre carte et utilisez un portefeuille qui isole les communications radio sans fil. D'accord, un portefeuille n'est pas nécessaire, mais il vaut mieux ne pas perdre votre carte.
Que s'est-il passé d'autre
Le prochain correctif pour les solutions Microsoft corrige 129 vulnérabilités, dont 23 sont critiques. L'un des problèmes les plus graves a été détecté sur le serveur Microsoft Exchange. Un attaquant peut exécuter du code arbitraire avec des privilèges élevés sur le serveur de messagerie en envoyant un message préparé.
Le correctif mensuel pour Android a fermé 53 bogues, y compris le prochain trou dans Media Framework.
Reconstitution d'un certain nombre de vulnérabilités dans le protocole Bluetooth. Le bogue BLURtooth vous permet de vous connecter à des appareils à proximité avec Bluetooth 4.0 et 5.0 sans autorisation. Les
abonnés e - mail et Lettres d' information Plugin Wordpress vulnérabilité menacedes centaines de milliers de sites. Une autorisation incorrecte vous permet d'utiliser le serveur de messagerie pour envoyer du spam.
Un développement intéressant sur le thème des attaques contre Office 365: dans une campagne de phishing, ils ont remarqué un mécanisme de validation des données saisies par une victime sur un faux site en temps réel. Autrement dit, votre nom d'utilisateur et votre mot de passe seront non seulement volés, mais également poliment signalés si vous avez fait une faute de frappe en tapant.
Les chercheurs en sécurité rapportent une attaque contre les passerelles VoIP basées sur Linux. Les attaquants recherchent l'historique des appels.
Razer, un fabricant d'ordinateurs portables, d'ordinateurs de jeu et d'accessoires, a volé 100 000 données clients.
Les développeurs du service de visioconférence Zoom ont mis en place une authentification à deux facteurs.