Gli esperti di sicurezza hanno recentemente

Come hackerare una carte di pagamento
RFID con una app Android
Gli esperti di sicurezza hanno recentemente scoperto un’App per dispositivi Android che è stata scritta per
hackerare un sistema di pagamento elettronico, chiamato "Tarjeta bip!", basato su tecnologi NFC utilizzato nel
settore trasporti in Cile.
L'applicazione Android, rilevata come malware (ANDROIDOS_STIP.A) dalla azienda di sicurezza Trend Micro, è
stata concepita per sfruttare le potenzialità dei dispositivi mobili che implementato i protocolli NFC per attività
illecite. I criminali informatici dietro l’operazione hanno poi distribuito l’App attraverso canali che ne consentono
la rapida diffusione, come forum e blog. TrendMicro ha pubblicato un interessante post per spiegare come sia
possibile hackerare, con un dispositivo Android, le carte RFID utilizzate per processi di pagamento.
L’articolo, intitolato RFID Payment Cards with Android App, focalizza sui rischi di sicurezza connessi all’adozione
di tecnologia RFID nei circuiti di pagamento. La tecnologia RFID è molto diffusa per sistemi di micro-pagamento e
l’integrazione della tecnologia NFC nei dispositivi mobili se sta amplificando la diffusione.
Molte organizzazioni e commercianti distribuiscono ai propri clienti Smart card basate su tecnologia RFID,
tipicamente usate come carte prepagate, tuttavia spesso sono ignorati i fondamentali di sicurezza della tecnologia
in uso.
Analizzando il caso di Tarjeta bip!, gli esperti di Trend Micro hanno evidenziato che le carte usate per il Sistema di
Ticketing erano delle Smart card su tecnologia Mifare, ovvero sulla tecnologia di contactless Smart card più diffusa
al mondo basata sullo standard ISO 14443.
Si tenga presente che sul mercato vi sono circa 5 miliardi di Smart card utilizzate nelle più disparate applicazioni,
dal pagamento, ai sistemi di controllo accessi.
“Analizzando il codice dell’app Android, abbiamo scoperto che funziona su un dispositivo che supporta tecnologia
NFC e che può leggere e scrivere queste carte. L'applicazione malevola scrive dati opportuni sulla carta che
consentono di aumentare l’importo che vi è caricato a 10.000 pesos cileni (circa 15 dollari). Questo particolare
trucco funziona solo con questa particolare smartcard, dato che si basa sul formato della scheda in questione. "
Afferma il Trend Micro sul suo blog.
L'analisi del codice sorgente dell’app Android rivela che è in grado di lettere e scrivere le Smart card sfruttando la
tecnologia NFC del dispositivo mobile, e come evidenziato nel post, l’applicazione è in grado di interagire con la
scheda senza che alcun processo di autenticazione lo impedisca. Ciò è possibile perché le Smart card in questione si
basano su di una vecchia implementazione del Mifare, nota come MIFARE Classic, che implementa un protocollo
proprietario di alto livello, invece dello standard ISO 14443-4, e che è noto essere affetto da seri problemi di
sicurezza.
Una vulnerabilità nella implementazione del Mifare permette ad un attaccante di modificare la scheda utilizzando
dispositivi facili da reperire in commercio, come Proxmark3.
Un attaccante, con la dotazione idonea, può facilmente ricavare la chiave di autenticazione della scheda, una volta
ottenuta la quale l'utente malintenzionato può facilmente implementare una applicazione mobile che è in grado di
riprogrammare la scheda utilizzando il supporto NFC nativo in un dispositivo Android.
Come evidenziato nell’articolo di TrendMicro, non sono solo le carte basate su MIFARE Classic ad essere
vulnerabili, anche le tecnologie MIFARE DESFire and quella MIFARE Ultralight sono affette da problemi di
sicurezza.
“"Siamo a conoscenza di almeno tre carte vulnerabili che sono in nostro possesso: una scheda utilizzata come
social card per un circuito bancario, una carta di pagamento per il trasporto e lo shopping, ed una scheda per il
pagamento dei pasti. La social card in particolare è utilizzata in un circuito che ha circa sette milioni di utenti.". è
riportato nell’articolo.
Una delle carte testate dagli esperti di Trend Micro è una carta MIFARE Classic, mentre le atre due sono MIFARE
DESFire, che sono comunque vulnerabili a side-channel attacks.
Concludo sottolineando che la principale causa per il successo degli attacchi è spesso nell'adozione di soluzioni
tecnologiche obsolete, ancora utilizzate da molte aziende per il loro basso costo.
Gli esperti suggeriscono ai clienti di controllare periodicamente i saldi dei loro conti e di sincerarsi della tipologia
di carte utilizzate nei circuiti cui aderiscono
Pierluigi Paganini
(Security Affairs – RFID - Mifare, hacking)