bankowość

Kilka lat temu otrzymałem z banku BZ WBK kartę płatniczą Visa z wbudowanym chipem. Ostatnio, zainspirowany tematem kart bezstykowych, postanowiłem jej się dokładniej przyjrzeć.

W czasie analizy największym problemem okazało się znalezienie odpowiedniej dokumentacji technicznej. Pierwszymi dokumentami, z których korzystałem, były specyfikacje standardu EMV, dostępne za darmo na stronach EMVco. Specyfikacje te opisują dość dokładnie podstawowe mechanizmy stosowane w tego typu kartach, budowę i filozofię ich działania, Secure Messaging czy polecenia służące do autoryzacji transakcji.

Jednym z pierwszych kroków, które należy wykonać przy próbie skorzystania z karty, jest wybór odpowiedniej aplikacji. Niestety, standard EMV nie specyfikuje dostępnych nazw aplikacji (niezbędnych do dokonania takiego wyboru); istnieje wprawdzie sposób na ich odczytanie z karty, ale moja karta go nie wspiera. Dlatego też konieczne okazało się odnalezienie kolejnych dokumentacji.

W serwisie ipsec.pl pojawiła się informacja o przeprowadzeniu przez niemieckich kryptologów udanego ataku na bezstykowe karty kryptograficzne. Idea ataku jest dość prosta: należy zbudować przekaźnik, który przetransportuje sygnał między kartą a czytnikiem w taki sposób, by posiadacz tejże karty nie był tego świadom.