チューリッヒのスイス高等技術学校の研究者は、Visa支払いカードで使用される非接触支払いを承認する方法に正確に脆弱性を発見しました。 PINを入力せずに、トランザクションの制限を超えることができます。これは、盗難が発生した場合、攻撃者が非常に高価な製品の代金をカードで支払うことができることを意味します。
PoCビデオでは、興味深い詳細が目立ちます。2つのスマートフォンが使用され、1つはクレジットカードからデータを読み取り、もう1つは支払い端末に運ばれます。カードを盗む必要すらなく、適切なタイミングでクレジットカードにキスするのに十分であると想定されています。以前は、非接触支払いシステムに対するそのような攻撃は単に非現実的でした。それらはそのままですが、調査により、私たちが望むよりも少し危険になっています。
このトピックに関する詳細な研究はまだ発表されていません。研究者たちは、早ければ2021年5月にすべての詳細を記載した作品を提出することを約束しています。これまでのところ、次のことがわかっています。脆弱性は、端末との接触時に送信される支払いカードのステータスを変更する機能にあります。より正確には、2つのステータスがあります。1つはPINコードの入力が不要であることを端末に通知し、もう1つはカードがユーザーデバイス(スマートフォンなど)で承認されていることを通知します。通常、これらのインジケータの組み合わせにより、端末はPINを要求します。攻撃シナリオでは、カードからのデータがスマートフォンによって読み取られ、別のスマートフォンに転送され、その過程で変更されます。スイスでの非接触支払いの上限は80スイスフラン(発行時点で74ユーロ)です。研究者は、発見された脆弱性を利用して、許可なく200フランの支払いを行いました。
ほとんどの場合、多くのVisaクレジットカードとデビットカードは脆弱です。DiscoverおよびUnionPayシステムのカードでステータスの置換が可能である可能性もあります。PINを入力する必要性を回避できるステータスはその場で変更できないため、脆弱性はマスターカードカードの影響を受けません(最も初期の非接触カードを除く)。すべてのカードが影響を受けるのか、一部の銀行だけが影響を受けるのか、特定の銀行が特定の期間影響を受けるのかは、研究者自身にはわかりません。推奨事項は簡単です。カードを紛失しないで、ワイヤレス無線通信を分離するウォレットを使用してください。さて、財布は必要ありませんが、カードをなくさない方がいいです。
他に何が起こったのか
Microsoftソリューションの次のパッチは、129の脆弱性をクローズし、そのうち23が重大です。最も深刻な問題の1つは、MicrosoftExchangeサーバーで見つかりました。攻撃者は、準備されたメッセージを送信することにより、メールサーバー上で高い特権を持つ任意のコードを実行できます。
Androidの月次パッチは、MediaFrameworkの次の穴を含む53のバグをクローズしました。Bluetoothプロトコルの多くの脆弱性の
補充。 BLURtoothバグを使用すると、Bluetooth4.0および5.0を使用して許可なく近くのデバイスに接続できます。
メール購読者とニュースレターWordpressプラグインの脆弱性が脅かされる数十万のサイト。不正な認証により、メールサーバーを使用してスパムを送信できます。Office 365に対する攻撃のトピック
に関する興味深い進展:あるフィッシングキャンペーンで、彼らは、被害者が偽のサイトに入力したデータをリアルタイムで検証するメカニズムに気づきました。つまり、ユーザー名とパスワードが盗まれるだけでなく、入力中にタイプミスをした場合は丁寧に報告されます。
セキュリティ研究者は、LinuxベースのVoIPゲートウェイへの攻撃を報告しています。攻撃者は通話履歴を探します。
ラップトップ、ゲーム用PC、アクセサリのメーカーであるRazerは、10万人の顧客データを盗んでいます。
Zoomビデオ会議サービスの開発者は、2要素認証を実装しています。