Versión corta : Sí para tarjetas / no para teléfonos.
El viernes 13 de abril, Renaud Lifchitz (espera de seguridad francesa en BT) hizo una presentación en la conferencia Hackito Ergo Sum 2012 en París: “Hackear las tarjetas de crédito NFC por diversión y débito;)”. Él demostró cómo la tarjeta de crédito habilitada con NFC carece de todas las características básicas de seguridad:
- Sin autenticación para evitar el lector deshonesto.
- Sin cifrado para evitar espías.
- sin comprobación de integridad de sesión (repetición o ataque de inyección).
Hizo una demostración en vivo usando una computadora y un teléfono Android con su propia tarjeta de crédito. Pudo extraer la siguiente información:
- ¿Cuál es el mejor lenguaje de programación para hackear y por qué?
- ¿Por qué se extiende ampliamente el rumor de que los sistemas Linux no pueden ser pirateados? ¿Hasta qué punto es verdad?
- ¿De qué se trata la piratería?
- ¿Qué canción debo aprender a tocar en el piano?
- ¿Qué lenguajes de programación se necesitan para la piratería ética?
- el PAN (número de cuenta principal).
- el nombre del titular, apellido y género.
- la fecha de expiración.
- El historial de transacciones.
- Los datos de la banda magnética.
Unas pocas citas de la presentación:
Pero es una pena y un gran FALLO. No utilizan ningún tipo de autenticación y ningún tipo de cifrado. Entonces está abierto de par en par.
EMV (Europay MasterCard Visa) está simplemente mal diseñado para NFC y necesita una reescritura completa .
No hemos roto ninguna seguridad ni lo hemos intentado porque no hay ninguna.
Las diapositivas de la presentación y el código fuente están disponibles en Google Code. Y una grabación del video está disponible en Ustream.
A falta de un mejor sitio web para resumir la presentación … descaradamente conecto el mío: http://www.fabriceroux.com/blog/…