Para peneliti dari Swiss Higher Technical School of Zurich menemukan kerentanan tepatnya pada metode otorisasi pembayaran nirsentuh yang digunakan dalam kartu pembayaran Visa. Ini memungkinkan Anda untuk melampaui batas transaksi tanpa memasukkan PIN. Artinya, jika terjadi pencurian, penyerang dapat membayar dengan kartu untuk produk yang sangat mahal.
Detail menarik terlihat di video PoC: dua smartphone digunakan, satu membaca data dari kartu kredit, yang lain dibawa ke terminal pembayaran. Diasumsikan bahwa tidak perlu mencuri kartu, cukup untuk berhasil mencium kartu kredit pada waktu yang tepat. Sebelumnya, serangan seperti itu pada sistem pembayaran nirsentuh sama sekali tidak praktis. Mereka tetap seperti itu, tetapi penelitian membuat mereka sedikit lebih berbahaya dari yang kita inginkan.
Sebuah studi mendetail tentang topik tersebut belum dipublikasikan - para peneliti berjanji untuk menyerahkan pekerjaan dengan semua detailnya paling cepat Mei 2021. Sejauh ini, hal berikut diketahui: kerentanannya terletak pada kemampuan untuk mengubah status kartu pembayaran, yang ditransmisikan setelah kontak dengan terminal. Lebih tepatnya, ada dua status: satu memberi tahu terminal bahwa input kode PIN tidak diperlukan, yang kedua - bahwa kartu tersebut diotorisasi pada perangkat pengguna (misalnya, pada telepon pintar). Biasanya kombinasi dari indikator ini akan menyebabkan terminal meminta PIN. Dalam skenario serangan, data dari kartu dibaca oleh smartphone, ditransfer ke smartphone lain, dan dimodifikasi dalam prosesnya. Batas pembayaran nirsentuh di Swiss adalah CHF 80 (โฌ 74 pada saat publikasi). Peneliti melakukan pembayaran 200 franc tanpa otorisasi, mengambil keuntungan dari kerentanan yang ditemukan.
Kemungkinan besar, banyak kartu kredit dan debit Visa yang rentan. Mungkin juga substitusi status dimungkinkan pada kartu sistem Discover dan Union Pay. Kerentanan tidak terpengaruh oleh kartu Mastercard (kecuali yang paling awal tanpa kontak), karena ada status yang memungkinkan Anda untuk melewati kebutuhan untuk memasukkan PIN tidak dapat diubah dengan cepat. Tidak diketahui sendiri oleh para peneliti apakah semua kartu, atau hanya beberapa, atau bank tertentu untuk periode waktu tertentu yang terpengaruh. Rekomendasinya sederhana: jangan kehilangan kartu Anda dan gunakan dompet yang mengisolasi komunikasi radio nirkabel. Oke, dompet tidak diperlukan, tetapi lebih baik tidak kehilangan kartu Anda.
Apa lagi yang terjadi
Tambalan berikutnya untuk solusi Microsoft menutup 129 kerentanan, 23 di antaranya kritis. Salah satu masalah paling serius ditemukan di server Microsoft Exchange. Penyerang dapat mengeksekusi kode arbitrer dengan hak istimewa tinggi di server email dengan mengirimkan pesan yang telah disiapkan.
Tambalan bulanan untuk Android menutup 53 bug, termasuk lubang berikutnya di Kerangka Media.
Pengisian kembali sejumlah kerentanan dalam protokol Bluetooth. Bug BLURtooth memungkinkan Anda untuk terhubung ke perangkat terdekat dengan Bluetooth 4.0 dan 5.0 tanpa otorisasi.
Pelanggan Email & Buletin Kerentanan Plugin Wordpress Mengancamratusan ribu situs. Otorisasi yang salah memungkinkan Anda menggunakan server email untuk mengirim spam.
Perkembangan menarik tentang topik serangan terhadap Office 365: dalam satu kampanye phishing, mereka melihat mekanisme untuk memvalidasi data yang dimasukkan oleh korban di situs palsu secara real time. Artinya, username dan password Anda tidak hanya akan dicuri, tetapi juga dilaporkan secara sopan jika Anda salah ketik saat mengetik.
Peneliti keamanan melaporkan serangan pada gateway VoIP berbasis Linux. Penyerang memburu riwayat panggilan.
Razer, produsen laptop, PC game, dan aksesori, memiliki 100.000 data pelanggan yang dicuri .
Pengembang layanan konferensi video Zoom telah menerapkan otentikasi dua faktor.