Bezkontaktní karty na potkání sdělují historii transakcí a NFC v mobilu je navíc dokáže trvale zničit

Víte, že většina debetních/kreditních karet MasterCard či Visa si v sobě ukládá historii transakcí i výběrů z bankomatů, a tyhle údaje s radostí vyzradí každému klidně i bezkontaktně, kdo si o ně požádá, např. přes různé aplikace na telefonech co mají NFC?

Na svých kartách jsem tak viděl některé platby v obchodech a výběry z bankomatů za celou dobu její platnosti a to včetně měn, ve kterých to probíhalo (viz screenshot nalevo, již expirovaná karta mi obratem prozradila, kdy jsem byl v Rumunsku v roce 2015). Stačí přiložit kartu k mobilu zezadu (a to samé může udělat i kdokoli v MHD, v obchodě atd).

Na dotaz na dvě banky jejíž MasterCard (a to i takové vyrobené před 2 měsíci) toto dělají byly reakce:

  • Air Bank že o tom ani neví, ať pošlu název aplikace, screenshoty a kdovíjaké důkazy (jejich nová karta, co to dělá, přitom byla vystavena před 2 měsíci — screenshoty co tu ukazuji jsou naopak z již expirované karty);
  • Fio banka naopak o fenoménu ví a odpověděla: „v současné době z technických důvodů nemůžeme platební karty zabezpečit proti získání informací o posledních karetních transakcí pomocí NFC. Jedná se o defaultní nastavení dle oficiální specifikace Mastercard. Toto zabezpečení banka plánuje implementovat. Máte-li jakékoli další dotazy, neváhejte se na nás obrátit.“ (Karta, kterou jsem zkoušel, byla vystavena už před 3 roky a stále má rok platnost — Fio banka vystavuje oproti většině jiných českých bank karty se čtyřletou platností.)

Pro zajímavost, třeba karta Visa Infinite od Erste Premier (ČS), pokud si transakce ukládá, tak stejným postupem je na potkání NEvyzrazuje. V popisu Androidí aplikace, kterou jsem ke čtení používal, se ostatně píše: „In some new EMV card, holder name and the transaction history have been removed by issuer to protect privacy.“ Takže minimálně nová Visa Infinite už patří k těmto kartám, co takto skandálně už nevyzrazují citlivé údaje typu kdy jsem za kolik nakupoval a vybíral.

Pro majitele účtů Erste Premier to je dobrá zpráva, protože pokud by někdo třeba na nádraží dělal skimming bezkontaktních karet, jsou 2 možnosti:

  1. rovnou mít platební terminál co bude kartám, které se k němu přiblíží, strhávat 500 korun (což ale bude mít rychlý konec jakmile to pár lidí nahlásí že jim zmizely peníze a přijde se na to, který terminál to nelegitimně dělal);
  2. jen pasivně načítat historii plateb a u těch, co tam mají zajímavé pohyby, si vytipovat vhodnou chvíli a metodou tradičního, anonymního kapsářství, dotyčnému „odklonit“ jeho peněženku k sobě, s logickým očekáváním, že v ní budou větší obnosy, než u těch ostatních co vybírají z bankomatu po 200 korunách a platí tím akorát rohlíky s vlašákem za 20 korun.

BTW — dělají se dnes odstíněné peněženky, aby na kartu v ní nešel dělat NFC skimming.

Zajímavost č.2 a potenciální varování: Sony Xperia S (hodně starý telefon, s custom ROM na bázi Androidu 7.1; jediný, co mám k dispozici s NFC), mi po asi minutě hraní si s tím NFC a opakovaným čtením všech karet co jsem měl po ruce, včetně InKarty na vlak, průkazky do knihovny atd., dvě z těch MasterCard usmažil (PDoS = permanent denial of service :)), jakože fakt odpálil tak, že bezkontaktně už nereagovaly ani v telefonu, ani v obchodě, ani bankomatu; a čip v obchodě i bankomatu nebyl rozpoznán, případně hlásil použijte fallback magnet, a pochopitelně magnet v terminálech co podporují i čip zase hlásil že karta má čip a není povoleno použítt magnet má-li karta čip, takže karty na odpis.

Chcete-li si na telefonu s NFC otestovat jestli vaše karty vyzrazují transakce a máte-li odvahu na to že váš telefon s NFC karty neusmaží jako mně (případně to chcete zkusit na již nepoužívaných / expirovaných kartách, kde už to je jedno), zkuste to: https://github.com/devnied/EMV-NFC-Paycard-Enrollment resp. https://play.google.com/store/apps/details?id=com.github.devnied.emvnfccard

Samozřejmě na vlastní riziko, nenesu zodpovědnost za usmažené karty, vybílené účty atd., znáte to, klasický disclaimer :)

Autor

Martin

Pracuji jako ajťák a grafik na volné noze, zejména ale pro brněnskou firmičku vyrábějící ekodrogerii. Dále působím v brněnském systému místní směny Rozleťse, Českém zahrádkářském svazu, České psychedelické společnosti, spolku Archetypal a Mezinárodní komunitě dzogčhenu. Asi mě baví kumulovat různé funkce a přidávat si spoustu práce. Lidi o mě říkají, že jsem multifunkční, což je asi trochu pravda :-) Chcete mě podpořit? BTC: 37mf2FJR26Ce3DxMkocukJDgB1eVjasnZB, příp. PGP podepsané adresy dalších kryptoměn.

2 komentáře u „Bezkontaktní karty na potkání sdělují historii transakcí a NFC v mobilu je navíc dokáže trvale zničit“

  1. Dobrý den, nevíte, jaké stanovisko k tomu má Equa banka?

  2. Netusim, jsou na jejich kartach videt transakce? Pokud ano napiste na jejixh support a zeptejte se jich :) sam ucet u equa nemam, tak nemuzu otestovat

Napsat komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *