A BKK-s NFC-s jegyaktiválás nem hordoz orbitálisan hatalmas biztonsági kockázatot?
Gondolok itt arra, hogy kicserélem a tag-et egy forgalmas helyen, mondjuk a 4-6-oson olyanra, ami párezer forintos paypass vásárlásokat hajt végre, vagy még diszkrétebben simán csak megszerzi a kártyaadatokat.
Az emberek többsége nem ért hozzá, a maradék meg azt hiszi az Android hibája, hogy elindul a Wallet, közben meg pár nap vagy hét múlva vesz magának egy yachtot Nigériában és futhat a pénze után.
Hogyan védekezik ez ellen a BKK, mikor még a sokkal komplexebb ATM-eknél is viszonylag gyakori, hogy az egész olvasófelületet megbabrálják.
"Az emberek többsége nem ért hozzá"
Ezek szerint te sem eléggé :)
"párezer forintos paypass vásárlásokat hajt végre"
NFC fizetéshez szükséges, hogy a fizetési tranzakciót kezdeményező (a pénzt "kérő") eszköz aktív eszköz legyen, vagyis elektromágneses mezőt generáljon maga köré. Emellett nonstop online kapcsolat is kell a fizetéshez, tehát egy mobil kommunikátor is kell, ami leügyezi a tranzakciót a szolgáltatóval. Nyilván ez is árammal megy, tehát el kéne dugnod egy mobileszközt és egy akksit is a matrica mögé / köré.
De a nagyobb probléma, hogy fizetési tranzakciót csak bankokon keresztül tudsz végrehajtani, tehát valahonnan kerítened kell egy POS terminált, amit persze, ha nagyon értesz hozzá, _elvileg_ ki tudsz belezni, kicserélni az áramforrást, kiszedni belőle minden felesleges részt, és elrejteni a chipet a matrica mögé, a maradékot meg valahová, de még ha mindezt meg is ugrod, az első alkalommal, amint valaki "fizetett", pontosan tudni fogják, hogy kinek ment a pénz. Nyilván a csodaeszközödet 1-2 "fizetés" után leszedik, tehát pár tízezer forintnál többet nem fogsz tudni keresni. Utána meg számíthatsz egy látogatásra a sünöktől, akik várhatóan nagyon kellemetlen kérdéseket fognak feltenni.
"vagy még diszkrétebben simán csak megszerzi a kártyaadatokat"
Az ugye megvan, hogy az NFC fizetés nem annyiból áll, hogy a POS terminál leolvassa a kártyaadatokat? Ez egy elég bonyolult folyamat, aminek a végén a kártya önmaga érvényesít egy fizetési tranzakciót. A terminál nem látja a kártyaszámot, csak egy, a kártya által aláírt tokent, amit ráadásul érvényesíteni sem tud, ezt a pénzügyi szolgáltató teszi meg (ezért kell neki online kapcsolat).
Egyrészt a 4-es 6-os villamoson van kamera.
Másrészt nem annyira elterjedt "a sokkal komplexebb ATM-eknél" sem az NFC-s olvasófelület megtrükközése.
Harmadrészt nem lehet csak és kizárólag a szolgáltató felelősségére hárítani egy olyan dolgot, ami a felhasználón is múlik.
"mondjuk a 4-6-oson olyanra, ami párezer forintos paypass vásárlásokat hajt végre"
Kezdjük azzal hogy ehhez egy terminálra van szükséged, ami ott kezdődik hogy NAV-nál be kell regisztráljad hogy egyáltalán működjön. Ezen túl pedig minden kártyás vásárlás visszakövethető hozzád.
Jó, akkor a pénzlopás nem megoldható, de attól még NFC-n keresztül több a biztonsági kockázat. Fertőzött QR kódok is vannak, de ott vagy meg kell nyitni linket, vagy valami 0 day exploitot használ ki.
NFC-n adatot is lehet továbbítani a készülékről. Számtalanszor volt, hogy véletlenül hozzáért az új személyim a telefon hátlapjához és kiírt valami hibaüzenetet az Android Beam.
Egy ilyen passzív bizbasz nem tudna mondjuk egy zsarolóvírust rásugározni a telefonokra szintén 0 day exploitot kihasználva?
Vagy valami spyware botnetet, ami fel se tűnik senkinek, csak nem működik a cucc, aztán próbálkozik egy másiknál és már beolvasta több ezer ember, mire valakinek feltűnik?
"NFC-n adatot is lehet továbbítani a készülékről."
Igen, de ehhez két aktív eszköz kell, amivel visszakunkorodtunk a "hová rejted az akksit" kérdéshez. Plusz vedd ehhez hozzá, hogy a BKK app nem akar adatcserét kezdeményezni, ő olvasni akar egy taget. Ha ez van leprogramozva, akkor nem tudja "meggondolni magát", és gyorsan átküldeni valamit a telefonodról.
"Egy ilyen passzív bizbasz nem tudna mondjuk egy zsarolóvírust rásugározni a telefonokra szintén 0 day exploitot kihasználva?"
Ez inkább csak elméleti lehetőség. Ha a klasszikus "buffer overflow" támadásra gondolsz, akkor annak az esélye egy androidos alkalmazásnál gyakorlatilag nulla (és akkor sem "rásugározza" a kódot a telefonra, de ez már majdnem mindegy).
Kapcsolódó kérdések:
Minden jog fenntartva © 2024, www.gyakorikerdesek.hu
GYIK | Szabályzat | Jogi nyilatkozat | Adatvédelem | Cookie beállítások | WebMinute Kft. | Facebook | Kapcsolat: info(kukac)gyakorikerdesek.hu
Ha kifogással szeretne élni valamely tartalommal kapcsolatban, kérjük jelezze e-mailes elérhetőségünkön!