Vakava turvauhka AfterPay-rannekkeissa -------------------------------------- English version of this advisory: https://sintonen.fi/advisories/afterpay-bracelet.txt Muun muassa Suuret Oluet – Pienet Panimot -tapahtumassa käytettyjen AfterPay-rannekkeiden kopioiminen onnistuu sekunneissa esimerkiksi Android-puhelimella. Tämän jälkeen hyökkääjä voisi ostaa tuotteita uhrin piikkiin, maksimissaan 500€ asti. Uhri ei tietäisi joutuneensa hyökkäyksen kohteeksi vasta kuin tapahtuneen jälkeen, saatuaan ylisuuren laskun. AfterPay-rannekkeesta puuttuvat pankkikortista tutun lähimaksamisen turvaominaisuudet: - ranneke on helppo kopioida, toisin kuin oikea lähimaksukortti - oikealla lähimaksukortilla käyttäjän täytyy syöttää kortin PIN-koodi ajoittain - oikealla lähimaksukortilla on yksittäisen maksun yläraja (noin 20-30 €, pankista riippuen) Käytetyt rannekkeet sisältävät NXP MIFARE CLASSIC 1k NFC-tarran. Kun AfterPay otetaan käyttöön, NFC-tarran yksilöllinen tunniste yhdistetään käyttäjään. Maksutapahtumassa lukijalaitteeseen syötetään veloitettava summa ja tämän jälkeen ranneketarrasta luetaan yksilöllinen tunniste jonka perusteella maksu osataan yhdistää oikeaan käyttäjään. Käyttäjälle lähetetään lasku kokonaissummasta myöhemmin. Hyökkääjän on helppo luoda kopio alkuperäisestä NFC-tarrasta mikäli hyökkääjä pääsee uhrin rannekkeen lähelle esimerkiksi Android-puhelimella. Kopion voi kirjoittaa kiinasta ostetulle täysin kirjoitettavalle NFC-tunnistelle (arvo noin 1€). Tällaisen uudelleenohjelmoidun tunnisteen voi piilottaa aidon rannekkeen alle, kohdistaen näin maksut uhrin "laskulle". Allekirjoittanut saattoi tämän AfterPayn edustajan tietoon 27.7.2016. AfterPayn edustaja totesi olevansa tietoinen ongelmasta. Ainoa konkreettinen tulos oli, että AfterPayn edustaja uhkasi poistaa allekirjoittaneen tapahtumasta. Turvaohjeet AfterPay-rannekkeen käyttäjille ------------------------------------------- 1. Huolehdi ettei kukaan pääse rannekkeesi viereen esimerkiksi puhelimen tai muun laitteen kanssa. Kopiointi onnistuu noin 5-10 cm etäisyydeltä. 2. Mikäli epäilet kopioinnin tapahtuneen, mene välittömästi AfterPayn tiskille ja pyydä sulkemaan ranneke järjestelmästä. Pelkkä rannekkeen tuhoaminen ei pysäytä väärinkäyttöä! Vastine ------- 1.8.2016 Arvato Financen eCommerce Manager Jouko Tossavainen väitti seuraavaa Digitodayn jutussa: "Arvato tiedostaa Sintosen raportoiman ongelman nfc-tarrojen osalta, mutta huomauttaa, että järjestelmä tunnistaa, millä laitteella nfc-tunniste on luotu. Jos nfc- ranneke on luotu muulla kuin järjestäjän toimittamalla laitteella, nfc-tarran maksutapahtuma ei yhtiön mukaan siirry laskutusjärjestelmään asti." Tämä ei pidä paikkaansa. Kopioitu nfc-tunniste on 100% identtinen alkuperäisen kanssa, joten järjestelmä ei mitenkään pysty erottamaan sitä alkuperäisestä. Kopioidulla rannekkeella tehdyt ostokset päätyvät laskutusjärjestelmään. Aikajana -------- 27.07.2016 alkuperäinen löydös 27.07.2016 ilmoitus Afterpayn edustajille 29.07.2016 tämän dokumentin kirjoitus 30.07.2016 dokumentin käännös englanniksi 01.08.2016 lisätty vastine Jouko Tossavainen väitteeseen Harry Sintonen