Các nhà nghiên cứu: "Nói cách khác, mã PIN vô dụng trong các giao dịch không tiếp xúc (không chạm - contactless payment) với thẻ Visa."
Một nhóm nghiên cứu học thuật từ Thụy Sĩ đã phát hiện ra một lỗi bảo mật có thể bị lạm dụng để vượt qua mã PIN cho việc thanh toán Visa không tiếp xúc.
Điều này có nghĩa là nếu bọn tội phạm đang sở hữu thẻ Visa không chạm (contactless VISA card) bị đánh cắp, chúng có thể sử dụng thẻ đó để thanh toán cho các sản phẩm đắt tiền, vượt quá giới hạn giao dịch không chạm và không cần nhập mã PIN của thẻ.
Theo các nhà nghiên cứu, cuộc tấn công diễn ra vô cùng lén lút và có thể dễ dàng bị nhầm lẫn với việc một khách hàng thanh toán sản phẩm bằng ví điện thoại di động / hay ví điện tử được cài đặt trên điện thoại thông minh của họ. Tuy nhiên, trên thực tế, kẻ tấn công đang thực sự thanh toán bằng dữ liệu nhận được từ thẻ không chạm Visa (bị đánh cắp) được giấu trên cơ thể kẻ tấn công.
Nguyên tắc hoạt động của tấn công
Theo nhóm nghiên cứu, một cuộc tấn công thành công cần có bốn thành phần: (1 + 2) hai điện thoại thông minh Android, (3) một ứng dụng Android đặc biệt do nhóm nghiên cứu phát triển và (4) một thẻ Visa không chạm.
Ứng dụng Android được cài đặt trên hai điện thoại thông minh, sẽ hoạt động như một trình giả lập thẻ và một trình giả lập POS (Point-Of-Sale).
Điện thoại giả lập thiết bị POS được đặt gần thẻ bị đánh cắp, trong khi điện thoại thông minh hoạt động như trình giả lập thẻ được sử dụng để thanh toán hàng hóa.
Toàn bộ ý tưởng đằng sau cuộc tấn công là trình giả lập POS yêu cầu thẻ thực hiện thanh toán, sửa đổi chi tiết giao dịch và sau đó gửi dữ liệu đã sửa đổi qua WiFi đến điện thoại thông minh thứ hai thực hiện một khoản thanh toán lớn mà không cần cung cấp mã PIN (như kẻ tấn công đã sửa đổi dữ liệu giao dịch để nói rằng thực hiện mà không cần xác thực mã PIN).
Các nhà nghiên cứu cho biết: “Ứng dụng của chúng tôi không yêu cầu đặc quyền root hoặc bất kỳ phương pháp hack ưa thích nào đối với Android và chúng tôi đã sử dụng thành công nó trên các thiết bị Pixel và Huawei."
Vấn đề của giao thức thanh toán Visa không chạm
Các nhà nghiên cứu cho biết: “Phương pháp xác minh chủ thẻ được sử dụng trong một giao dịch, nếu có, không được xác thực và cũng không được bảo vệ bằng mật mã để chống lại sự sửa đổi.
“Cuộc tấn công bao gồm việc sửa đổi đối tượng dữ liệu có nguồn gốc từ thẻ –Điều kiện giao dịch thẻ– trước khi chuyển nó đến thiết bị đầu cuối,” họ nói thêm.
"Việc sửa đổi hướng dẫn thiết bị đầu cuối rằng: (1) xác minh mã PIN là không cần thiết và (2) chủ thẻ đã được xác minh trên thiết bị của người tiêu dùng (ví dụ: điện thoại thông minh)."
Những sửa đổi này được thực hiện trên điện thoại thông minh chạy trình giả lập POS, trước khi được gửi đến điện thoại thông minh thứ hai, sau đó được chuyển tiếp đến thiết bị POS thực tế, thiết bị này sẽ không thể biết liệu dữ liệu giao dịch có bị sửa đổi hay không.
Vấn đề bảo mật này đã được phát hiện vào đầu năm nay bởi các nhà nghiên cứu từ Viện Công nghệ Liên bang Thụy Sĩ (ETH) ở Zurich. Các nhà nghiên cứu ETH Zurich cho biết họ đã thử nghiệm cuộc tấn công của mình trong thế giới thực, trong các cửa hàng thực mà không gặp phải bất kỳ vấn đề nào. Họ cho biết cuộc tấn công đã thành công khi vượt qua kiểm tra mã PIN trên thẻ Visa Credit, Visa Electron và VPay.
Người phát ngôn của Visa đã không bình luận về kết quả nghiên cứu của bài báo mà ZDNet đã gửi cho họ về nghiên cứu này, nhưng nhóm ETH Zurich cho biết họ đã thông báo cho Visa về những phát hiện của mình.
Tấn công thứ hai được phát hiện, ảnh hưởng đến cả Master Card
Để phát hiện ra lỗi này, nhóm nghiên cứu cho biết họ đã sử dụng phiên bản sửa đổi của công cụ có tên Tamarin, trước đây được sử dụng để phát hiện các lỗ hổng phức tạp trong giao thức mật mã TLS 1.3 [PDF] và trong cơ chế xác thực 5G [PDF].
Bên cạnh việc bỏ qua mã PIN trên thẻ không tiếp xúc Visa, công cụ tương tự cũng phát hiện ra vấn đề bảo mật thứ hai, lần này ảnh hưởng đến cả Mastercard và Visa. Các nhà nghiên cứu giải thích:
"Phân tích tượng trưng của chúng tôi cũng cho thấy rằng, trong một giao dịch ngoại tuyến không tiếp xúc với thẻ Visa hoặc thẻ Mastercard cũ, thẻ không xác thực với thiết bị đầu cuối ApplicationCryptogram (AC), là bằng chứng mật mã do thẻ tạo ra về giao dịch mà thiết bị đầu cuối không thể xác minh (chỉ tổ chức phát hành thẻ mới có thể). Điều này cho phép bọn tội phạm lừa thiết bị đầu cuối chấp nhận một giao dịch ngoại tuyến không xác thực. Sau đó, khi người mua gửi dữ liệu giao dịch như một phần của hồ sơ thanh toán bù trừ, ngân hàng phát hành sẽ phát hiện sai mật mã, nhưng tội phạm đã lấy hàng từ lâu rồi ”.
Không giống như lỗi đầu tiên, nhóm nghiên cứu cho biết họ không thử nghiệm cuộc tấn công thứ hai này trong các thiết lập trong thế giới thực vì lý do đạo đức, vì điều này sẽ lừa dối các thương gia - chủ cửa hàng buôn bán.
Thông tin chi tiết bổ sung về nghiên cứu của nhóm có thể được tìm thấy trong bản in trước của bài báo có tựa đề "The EMV Standard: Break, Fix, Verify." Các nhà nghiên cứu cũng dự kiến sẽ trình bày những phát hiện của họ tại Hội nghị chuyên đề IEEE về Bảo mật và Quyền riêng tư (IEEE Symposium on Security and Privacy), vào tháng 5 năm 2021.
- Bài báo công bố kết quả nghiên cứu: https://arxiv.org/pdf/2006.08249.pdf
- Video demo: https://youtu.be/JyUsMLxCCt8