Наша взаимовыгодная связь https://banwar.org/
Карта FUZE - це карта з підтримкою Bluetooth з дисплеєм ePaper, яка може зберігати в пам'яті інформацію про 30 реальних кредитних картах. Ви можете запрограмувати кредитні карти через Bluetooth Smart (BLE) за допомогою програми смартфона і використовувати його, як звичайну кредитну карту, при оплаті, після вибору карти, яку хочете використовувати. Це зручніше, ніж носити многожество карток і безпечніше, так як частина номера прихована (відображається у вигляді зірочок ****), тому, в разі, якщо хтось отримає вашу карту, зробити копію інформації, що зберігається на ній буде не легко .
Однак, проблема полягає в тому, що згідно з ICE9 Consulting існує вразливість системи безпеки, пов'язана з можливістю крадіжки номерів кредитних карт через Bluetooth: CVE-2018-9119 .
Повну інформацію можна знайти в блозі ICE9 . Був зроблений рентгенівський знімок, щоб дізнатися про головні компонентах карти (див. Фото, представлене нижче), а також за новою спроектований протокол Bluetooth за допомогою Android-смартфона і програмних інструментів, таких як Burp Suite (Необов'язково), Wireshark + crusty Perl-scripts, і gatttool / BlueZ.
Для отримання повної інформації про використовуваному протоколі Bluetooth і про уразливості пристрої, рекомендуємо прочитати повідомлення в блозі, але висновок полягає в тому, що зловмисник, який має доступ до карти FUZE може:
- Обійти блокування екрану.
- Прочитати номери кредитних карт з датою закінчення терміну дії та CVV.
- Підробити дані на карті.
Характеристики карти і її уразливості представлені на відео нижче.
ICE9 Consulting спробувала зв'язатися з компанією, що виробляє карту (BrilliantTS), але зворотного зв'язку не було до тих пір, поки помилка не була оприлюднена, і тепер компанія планує 19 квітня внести виправлення як в нову прошивку, так і в мобільні додатки.
Уразливі всі карти мають прошивку MCU 0.1.73 і прошивку версії 0.7.4. Якщо у вас є карта FUZE, подбайте про безпеку і не використовуйте її до тих пір, поки її прошивки не буде оновлено.
Висловлюємо свою подяку джерела з якого взята і переведена стаття, сайту cnx-software.com .
Оригінал статті ви можете прочитати тут.