Symantec выявила возможность считывать данные пластиковой карты при использовании технологии NFC

Антивирусная компания Symantec обнаружила, что данные банковских карт можно получать через беспроводную технологию обмена данными Near Field Communication (коммуникация ближнего поля), которая, в частности, используется для оплаты услуг и товаров с телефона. Выявить брешь позволило приложение Android.Ecardgrabber, которое компания разместила в Google Play.

Программу, вскрывающую карты на расстоянии, разработал немецкий программист, имя которого антивирусная компания не уточняет.

Протестировав приложение с двумя платежными системами, ему удалось получить номера пластиковых карт, даты начала и конца срока их действия, а также номера банковских счетов. Впрочем, получить код безопасности банковской карты ему не удалось.

На сервере приложение было размещено 13 июня 2012 года. Когда именно его удалили, в Symantec не сообщают, уточняя, что за время работы приложения его успели скачать от 100 до 500 пользователей. Так банковские карты стали уязвимы для потенциальных злоумышленников.

Приложение Android.Ecardgrabber не вирус: оно было создано независимыми экспертами с исследовательскими целями, уточняют в Semantec.

В результате эксперимента было выявлено, что использование технологии беспроводной оплаты может быть небезопасно: система уязвима и может быть вскрыта злоумышленниками, предупреждают в Symantec.

«К примеру, пользователь везет в метро карту, которая может работать по протоколу NFC, а злоумышленник, проходя мимо, подносит свое оборудование карте и считывает данные», — привел пример представитель компании Symantec, добавляя, что о существовании других подобных приложений ему неизвестно.

Технология NFC позволяет оплачивать покупки, поднося мобильный телефон с установленным приложением к точке на терминале продаж на расстояние 10 см вместо оплаты товаров кредитными картами или подарочными сертификатами. На смартфоне сохраняется информация о покупках, он автоматически передает данные о состоянии счета, а устройство снимает с него деньги. Обычно технологию используют для проведения банковских операций на суммы меньше 10 евро без ввода PIN-кода. Технологию NFC поддерживают смартфоны Sprint Nexus S 4G, Samsung Galaxy S III. Предположительно, системой будет оснащен и iPhone пятого поколения.

В 2011 году было продано 30 млн NFC-смартфонов. В прошлом году было произведено более 40 подобных моделей. В 2012 году продажи вырастут до 100 млн, а к 2016 году до 700 млн смартфонов в год, прогнозируют аналитики Berg Insights.

Это не первый случай, когда программисты выявляют недостатки в NFC. В начале года старший инженер компании Zvelo Джошуа Рубин создал приложение, позволяющее взломать четырехзначный PIN-код, который требовался для запуска приложения кошелька Google. Он поделился своими результатами с интернет-корпорацией, после чего та подтвердила наличие «дыры» и в пожарном порядке стала устранять проблему. В результате работа сервиса была приостановлена на некоторое время.

Впрочем, как говорит ведущий аналитик Mobile Research Group Эльдар Муртазин, «система NFC работает относительно недавно, и можно сказать, что находится в тестовом режиме. Поэтому чем больше будет выявлено в ней недостатков на этом этапе, тем лучше: их можно будет оперативно исправить, чтобы сделать более надежной». Эксперт напоминает, что NFC имеет много уровней безопасности, в том числе со стороны банка, который предоставляет карту.

Любые платежные технологии могут быть опасными, и в данной ситуации владельцу смартфона нельзя терять контроль над ним, советует председатель комитета Национальной ассоциации участников электронной торговли Борис Ким: «Для того чтобы злоумышленник воспользовался пластиковой картой, достаточно знать номер карты и код безопасности на обратной стороне, и эти данные могут получить даже официанты, которым посетитель отдаст ненадолго карту для того, чтобы расплатиться по счету».