Professores da Universidade de Cambridge demonstraram, na TV inglesa, como efetuar pagamento via cartões com chip usando qualquer número como senha.
Centenas de milhões de cartões de pagamento europeus têm uma falha que poderia permitir a criminosos usar um cartão roubado digitando qualquer senha aleatória para completar uma transação, afirmam pesquisadores da Universidade de Cambridge.
A descoberta, que será apresentada no Simpósio de Privacidade e Segurança na Califórnia do IEEE em maio, colabora para o aumento da desconfiança em relação aos cartões que utilizam chip e senha. Esses cartões contém um microchip que verifica se a senha é correta antes de completar uma transação.
Os bancos europeus afirmam que o sistema é mais seguro que o dos EUA, que não usam cartões com chip. Até agora, o sistema europeu têm impedido alguns tipos de clonagem de cartão.
Mas os pesquisadores de Cambridge descobriram que uma falha no complexo protocolo EMV permite um ataque intermediário. Ele engana o terminal de ponto de venda, fazendo-o crer que recebeu a senha correta, não importa o que o usuário tenha digitado.
O cartão pensa que a transação foi autorizada por uma assinatura eletrônica. Em alguns casos, os terminais de ponto de venda podem ter problemas ao se conectar de novo com o banco emissor do cartão, mas permitirão a transação se ela for confirmada por uma assinatura.
Alto nível
O ataque exige um conhecimento de alto nível do sistema de chip e senha, bem como algum hardware externo, conforme demonstrado pelos pesquisadores na TV inglesa na quinta-feira (11/2).
Apesar disso, “esta falha realmente salta aos olhos”, disse o professor de engenharia de segurança Ross Anderson.
No programa da BBC, um colega de Anderson, Saar Drimer, fez uma demonstração do ataque na própria lanchonete da Universidade de Cambridge. Ele carregava uma mochila com um laptop e uma placa FPGA. Um cartão falso, ligado ao cartão roubado, é inserido no terminal de venda.
Para a demonstração, os pesquisadores usaram um cartão de crédito do HSBC, um da loja de departamentos John Lewis, e cartões de débito do Barclays e do Cooperative Bank. Drimer é visto inserindo o cartão falso no terminal de venda. A transação é autorizada mesmo se Drimer entrar uma senha incorreta, como “0000”.
O setor bancário foi informado há cerca de dois meses sobre a falha. O HSBC e o Barclays disseram que a associação bancária U.K. Payments é quem iria se posicionar a respeito do caso.
“Nós nunca dissemos que o sistema de chip e senha é completamente infalível”, disse um porta-voz na sexta-feira (12/2). “Nós realmente acreditamos que [o ataque] não é realmente plausível num ambiente do dia-a-dia. Eles criaram um ambiente artificial para cometer esta fraude.”
Problemas técnicos
Faz algum tempo que os pesquisadores de Cambridge têm sido altamente críticos com o sistema de chip e senha. Eles encontraram vários problemas técnicos com a especificação e costumam criticar a falta de transparência em seu desenvolvimento.
Eles argumentam que isso se torna um problema à medida que os bancos tendem a julgar os clientes como responsáveis por perdas de transações nos quais a senha é utilizada, mesmo se o cliente alegar que ninguém a conhecia, dizem.
“Até agora, os bancos têm se recusado a reembolsar as vítimas porque eles assumem que um cartão não pode ser usado sem a senha correta”, de acordo com um artigo chamado “Chip e senha são quebrados“. “Este estudo mostra que sua alegação é falsa.”
Cerca de 730 milhões de cartões com chip e senha são usados em todo o mundo. A maioria dos países europeus usa os cartões, que têm sido introduzidos no Canadá. Sua adoção por bancos nos EUA ainda está em discussão. No Brasil, eles têm sido utilizado por alguns bancos, como o Itaú.
Além de Drimer e Anderson, a pesquisa foi feita por Steven J. Murdoch e Mike Bond. Mais informações podem ser obtidas no blog Light Blue Touchpaper.
