Come hackerare una carte di pagamento RFID con una app Android Gli esperti di sicurezza hanno recentemente scoperto un’App per dispositivi Android che è stata scritta per hackerare un sistema di pagamento elettronico, chiamato "Tarjeta bip!", basato su tecnologi NFC utilizzato nel settore trasporti in Cile. L'applicazione Android, rilevata come malware (ANDROIDOS_STIP.A) dalla azienda di sicurezza Trend Micro, è stata concepita per sfruttare le potenzialità dei dispositivi mobili che implementato i protocolli NFC per attività illecite. I criminali informatici dietro l’operazione hanno poi distribuito l’App attraverso canali che ne consentono la rapida diffusione, come forum e blog. TrendMicro ha pubblicato un interessante post per spiegare come sia possibile hackerare, con un dispositivo Android, le carte RFID utilizzate per processi di pagamento. L’articolo, intitolato RFID Payment Cards with Android App, focalizza sui rischi di sicurezza connessi all’adozione di tecnologia RFID nei circuiti di pagamento. La tecnologia RFID è molto diffusa per sistemi di micro-pagamento e l’integrazione della tecnologia NFC nei dispositivi mobili se sta amplificando la diffusione. Molte organizzazioni e commercianti distribuiscono ai propri clienti Smart card basate su tecnologia RFID, tipicamente usate come carte prepagate, tuttavia spesso sono ignorati i fondamentali di sicurezza della tecnologia in uso. Analizzando il caso di Tarjeta bip!, gli esperti di Trend Micro hanno evidenziato che le carte usate per il Sistema di Ticketing erano delle Smart card su tecnologia Mifare, ovvero sulla tecnologia di contactless Smart card più diffusa al mondo basata sullo standard ISO 14443. Si tenga presente che sul mercato vi sono circa 5 miliardi di Smart card utilizzate nelle più disparate applicazioni, dal pagamento, ai sistemi di controllo accessi. “Analizzando il codice dell’app Android, abbiamo scoperto che funziona su un dispositivo che supporta tecnologia NFC e che può leggere e scrivere queste carte. L'applicazione malevola scrive dati opportuni sulla carta che consentono di aumentare l’importo che vi è caricato a 10.000 pesos cileni (circa 15 dollari). Questo particolare trucco funziona solo con questa particolare smartcard, dato che si basa sul formato della scheda in questione. " Afferma il Trend Micro sul suo blog. L'analisi del codice sorgente dell’app Android rivela che è in grado di lettere e scrivere le Smart card sfruttando la tecnologia NFC del dispositivo mobile, e come evidenziato nel post, l’applicazione è in grado di interagire con la scheda senza che alcun processo di autenticazione lo impedisca. Ciò è possibile perché le Smart card in questione si basano su di una vecchia implementazione del Mifare, nota come MIFARE Classic, che implementa un protocollo proprietario di alto livello, invece dello standard ISO 14443-4, e che è noto essere affetto da seri problemi di sicurezza. Una vulnerabilità nella implementazione del Mifare permette ad un attaccante di modificare la scheda utilizzando dispositivi facili da reperire in commercio, come Proxmark3. Un attaccante, con la dotazione idonea, può facilmente ricavare la chiave di autenticazione della scheda, una volta ottenuta la quale l'utente malintenzionato può facilmente implementare una applicazione mobile che è in grado di riprogrammare la scheda utilizzando il supporto NFC nativo in un dispositivo Android. Come evidenziato nell’articolo di TrendMicro, non sono solo le carte basate su MIFARE Classic ad essere vulnerabili, anche le tecnologie MIFARE DESFire and quella MIFARE Ultralight sono affette da problemi di sicurezza. “"Siamo a conoscenza di almeno tre carte vulnerabili che sono in nostro possesso: una scheda utilizzata come social card per un circuito bancario, una carta di pagamento per il trasporto e lo shopping, ed una scheda per il pagamento dei pasti. La social card in particolare è utilizzata in un circuito che ha circa sette milioni di utenti.". è riportato nell’articolo. Una delle carte testate dagli esperti di Trend Micro è una carta MIFARE Classic, mentre le atre due sono MIFARE DESFire, che sono comunque vulnerabili a side-channel attacks. Concludo sottolineando che la principale causa per il successo degli attacchi è spesso nell'adozione di soluzioni tecnologiche obsolete, ancora utilizzate da molte aziende per il loro basso costo. Gli esperti suggeriscono ai clienti di controllare periodicamente i saldi dei loro conti e di sincerarsi della tipologia di carte utilizzate nei circuiti cui aderiscono Pierluigi Paganini (Security Affairs – RFID - Mifare, hacking)