С карт российских банков с технологией бесконтактной оплаты оказалось возможным считать список операций при помощи бесплатного приложения для смартфонов на платформе Android. Уязвимость обнаружили в «Яндексе», представители банковской отрасли пока не прокомментировали ситуацию.
Как сообщает издание TJournal, ошибку в защите карт MasterCard PayPass и Visa PayWave обнаружил менеджер проектов «Яндекса» Антон Волнухин. Он выяснил, что при помощи бесплатного приложения для Android под названием EMV NFC pay card reader можно по прикосновению получать сведения о датах и суммах платежей по карте. Этим могут воспользоваться мошенники.
Уязвимыми оказались только российские карты с технологией бесконтактной оплаты. С американскими и европейскими приложение работает правильно – отображает лишь открытые сведения о карте (тип, номер, срок действия, банк-эмитент и т. п).
Пользователи русскоязычного сообщества сервиса микроблогов Friendfeed протестировали имеющиеся у них карты и подтвердили, что уязвимость касается как минимум карт «Райффайзенбанка», «Альфа-Банка», ТКС, «Ситибанка» и «Яндекс.Денег».
Выяснилось также, что прочитать можно данные не только по бесконтактным, но и по обычным операциям, совершенным по карте. У ряда пользователей отображались не все операции, у других – только с суммами менее 2 тысяч рублей.
Иные пользователи считают, что информация о последних транзакциях по карте в соответствии с международным стандартом EMV хранится в незашифрованном виде, поэтому отображение списка операций в приложении не свидетельствует об уязвимости.