Pesquisadores da Escola Técnica Superior Suíça de Zurique descobriram uma vulnerabilidade precisamente no método de autorização de pagamentos sem contato usado em cartões de pagamento Visa. Ele permite que você vá além do limite de transações sem inserir um PIN. Isso significa que, em caso de roubo, os invasores podem pagar com um cartão por um produto muito caro.
Um detalhe interessante é perceptível no vídeo PoC: dois smartphones são usados, um lê os dados de um cartão de crédito, o outro é levado para um terminal de pagamento. Supõe-se que nem mesmo é necessário roubar o cartão, basta beijar com sucesso o cartão de crédito na hora certa. Anteriormente, esses ataques ao sistema de pagamento sem contato eram simplesmente impraticáveis. Eles permanecem assim, mas a pesquisa os torna um pouco mais perigosos do que gostaríamos.
Um estudo detalhado sobre o tema ainda não foi publicado - os pesquisadores prometem apresentar o trabalho com todos os detalhes já em maio de 2021. Até o momento, sabe-se o seguinte: a vulnerabilidade está na possibilidade de alterar o estado do cartão de pagamento, que é transmitido ao entrar em contato com o terminal. Mais precisamente, existem dois estados: um informa ao terminal que a entrada do código PIN não é necessária, o segundo - que o cartão está autorizado no dispositivo do usuário (por exemplo, em um smartphone). Normalmente, uma combinação desses indicadores fará com que o terminal solicite um PIN. Em um cenário de ataque, os dados de um cartão são lidos por um smartphone, transferidos para outro smartphone e modificados no processo. O limite para pagamentos sem contato na Suíça é CHF 80 (€ 74 no momento da publicação). Os pesquisadores fizeram um pagamento de 200 francos sem autorização, aproveitando a vulnerabilidade descoberta.
Muito provavelmente, muitos cartões de crédito e débito Visa são vulneráveis. Também é possível que a substituição de status seja possível nos cartões dos sistemas Discover e Union Pay. As vulnerabilidades não são afetadas pelos cartões Mastercard (exceto para os primeiros sem contato), uma vez que o status que permite que você ignore a necessidade de inserir um PIN não pode ser alterado em tempo real. Os próprios pesquisadores não sabem se todos os cartões, ou apenas alguns, ou determinados bancos por um determinado período de tempo são afetados. As recomendações são simples: não perca seu cartão e use uma carteira que isole as comunicações de rádio sem fio. Ok, não é necessária carteira, mas é melhor não perder o cartão.
O que mais aconteceu
O próximo patch para soluções da Microsoft fecha 129 vulnerabilidades, 23 delas são críticas. Um dos problemas mais sérios foi encontrado no servidor Microsoft Exchange. Um invasor pode executar código arbitrário com altos privilégios no servidor de email, enviando uma mensagem preparada.
O patch mensal para Android fechou 53 bug, incluindo o próximo buraco no Media Framework.
Reabastecimento em uma série de vulnerabilidades no protocolo Bluetooth. O bug BLURtooth permite que você se conecte a dispositivos próximos com Bluetooth 4.0 e 5.0 sem autorização.
Assinantes de e-mail e boletins informativos ameaça de vulnerabilidade do plug-in do Wordpresscentenas de milhares de sites. A autorização incorreta permite que você use o servidor de e-mail para enviar spam.
Um desenvolvimento interessante no tópico de ataques contra o Office 365: em uma campanha de phishing, eles notaram um mecanismo para validar dados inseridos por uma vítima em um site falso em tempo real. Ou seja, seu nome de usuário e senha não serão apenas roubados, mas também informados educadamente se você cometer um erro de digitação.
Pesquisadores de segurança relatam um ataque a gateways VoIP baseados em Linux. Os invasores procuram o histórico de chamadas.
A Razer, fabricante de laptops, PCs para jogos e acessórios, tem 100.000 dados de clientes roubados .
Os desenvolvedores do serviço de videoconferência Zoom implementaram a autenticação de dois fatores.