Megkönnyíti a lopásokat az NFC

Erre hívja fel a figyelmet egy brit tévécsatorna, amely biztonsági szakértők segítségével mutatta ki, hogy az NFC-vel ellátott, érintést nem igénylő bankkártyák egy része gond nélkül leolvasható a legtöbb okostelefonnal.

A brit channel4 beszámolójában arról olvashatunk, hogy az egyre több helyen használatos, érintést már egyáltalán nem igénylő betéti és hitelkártyák bizonyos hányada szinte semmilyen védelmet nem kínál azokkal szemben, akik az éppen ezen kártyákon található személyes adatainkra vadásznak. A tolvajok dolga az NFC széles körű alkalmazásával minden eddiginél könnyebbé válhat, hiszen a lopás kivitelezésénél sincs semmilyen szükség a kártya megszerzésére.

Manapság egyre több bankkártyát látnak el integrált RFID-chippel, amely lehetővé teszi, hogy bevásárlásunkat egy egyszerű, gyors mozdulattal véglegesítsük, amelynek során kártyánkat szimplán elhúzzuk a megfelelő leolvasó előtt, a tranzakciók jóváhagyásához pedig sem a PIN-kód beütésére, sem pedig aláírásunkra nincs szükség. Ezen tranzakciókat ugyan igyekeznek némileg biztonságosabbá tenni felső korlátok bevezetésével (ez általában 15 font, illetve 25 dollár körül mozog), ám a viaForensics szakértői rámutatta arra, hogy komoly biztonsági rések tátonganak a kártyák mindennapi alkalmazásában. Mivel az Egyesült Királyságban immár nagyjából 13 millió ilyen kártya van forgalomban, kormányzati források szerint pedig akár tömeges visszahívásra is sor kerülhet, a problémát nem lehet elbagatellizálni.


A szakértők a szintén brit Barclays bank által kibocsátott bankkártyák esetében találtak komoly rést a rendszerben, miután kiderült, hogy a WiFi-t támogató, speciális szoftverrel ellátott okostelefonokkal leolvashatók a fontosabb adatok, ehhez pedig mindössze arra van szükség, hogy a telefont a pénztárcára tegyük - a manőver minden bizonnyal működik ruhán keresztül is, ha netán a pénztárca valamelyik zsebünkben tartózkodik. A bank szerint ez nem jelent gondot, hiszen csak azon információkat szerezhetjük meg, amelyek a kártya előlapján találhatók, a mutatványt végrehajtó szakértők azonban ezt követően be tudtak vásárolni az Amazon oldalán, annak ellenére, hogy mind a felhasználó teljes neve, valamint az általa megadott cím nem egyezett a kártyán bejegyzett adatokkal. Az esetleges tolvajoknak tehát minden korábbinál könnyebb dolguk van, csak az okostelefonra és a szoftverre van szükségük a személyes adatok megszerzéséhez.

Jelen állás szerint csak a fenti bank érintett az ügyben, ám a megfelelő kártyák és okostelefonok terjedésével nyilván nem ez az utolsó eset, hogy ilyen hiányosságokról vagyunk kénytelenek beszámolni.