Entendiendo un lector de tarjetas de débito a través de RFID

Navega tus respuestas
0

Trabajo en la industria de autobuses y hoy fui a una reunión que me dio una idea para un proyecto. Para comenzar el proyecto, necesito reunir una perspectiva técnica de cómo funcionó el producto que vi en la reunión.

El dispositivo que me mostraron funcionó de la siguiente manera (pseudo términos):

  1. Coloque una tarjeta de débito sin contacto contra el dispositivo
  2. El dispositivo lee los datos de la tarjeta y luego envía la información de la tarjeta a un servidor a través de una conexión TLS segura (con toda la información necesaria para realizar un pago con la tarjeta, el número, CSC, etc.). Esto fue conocido como "tocar en"
  3. Vuelve a tocar el dispositivo para "tocar"

Luego, el servidor calculó la diferencia en segundos entre el momento en que tocó y el momento en que lo hizo, y creó y realizó una transacción por segundos * £ 0.01.

Para ser claros, la transacción se realizó en el servidor no desde el dispositivo. Esto significa que el dispositivo debe haber enviado información de la tarjeta al servidor.

Mi objetivo de publicar en este sitio es intentar comprender mejor cómo se leyó la información de la tarjeta y luego se descifró. Ya entiendo completamente cómo usar una pasarela comercial para realizar un pago de manera segura, cómo enviar datos usando una tarjeta SIM, etc.

Lo que sé hasta ahora:

Así que para empezar, tiene que haber un tablero que esté ejecutando algo. Mi conjetura es que estará ejecutando una distribución de Linux. Creo que para acceder a los datos dentro de la tarjeta de débito (el número, csc, etc.) se debe haber utilizado un lector RFID. Esto luego interactuaría con la distribución de Linux cuando la tarjeta de débito se colocara cerca.

Aquí es donde me quedo atascado. Después de agitar la tarjeta, nos mostraron que la información de la tarjeta estaba en la base de datos de su servidor. ¿Dónde han leído los datos y descifrado sus contenidos? ¿Enviaron bits encriptados y luego los descifraron en el servidor, o descifraron los datos utilizando el lector RFID y luego enviaron el número de la tarjeta de débito, el vencimiento, el csc, etc. a través de la conexión? Es esta parte que no puedo moverme la cabeza.

Aprecio que tengo muy poco conocimiento aquí, pero si alguien pudiera aclarar esto por mí, realmente lo apreciaría. Principalmente soy un desarrollador de software, por lo que soy nuevo en hardware, pero me encantaría tener una idea de lo que está pasando aquí.

    
pregunta jskidd3

1 respuesta

1

Creo que las tarjetas de pago sin contacto por lo general no "entregan" el número de la tarjeta, el CSC, el vencimiento, etc ... De lo contrario, eso no los haría mucho más seguros que las bandas magnéticas.

AFAIK, las tarjetas bancarias sin contacto generalmente reciben un desafío criptográfico del banco, lo firman y devuelven el resultado para demostrar que son una tarjeta real.

Sospecho que lo que sucedió fue que el lector de RFID en la reunión en la que se encontraba acaba de leer el identificador único de la tarjeta y lo comparó con su base de datos. Dudo que realmente hayan usado algo más en la tarjeta, ya que es probable que no tengan los medios para descifrarla o enviarle desafíos.

En otras palabras, es probable que simplemente lean el ID de una tarjeta RFID (no es difícil, puedes hacerlo con teléfonos inteligentes y aplicaciones especiales) y enviaron este ID a su base de datos de back-end para que coincida con la tarjeta con una cuenta.

Hacerlo de esta manera podría ser un problema de seguridad potencial. Es casi imposible emular una tarjeta bancaria debido a que utilizan un protocolo de desafío-respuesta para demostrar que son una tarjeta real. Eso es lo que hace que sea imposible clonar una tarjeta bancaria sin contacto.

Sin embargo, es bastante fácil falsificar o clonar una identificación de tarjeta y se puede hacer con un equipo esencialmente comercial. Para un sistema de transporte, podría significar que los clientes al azar cobrarían por las tarifas que no tomaron y las personas podrían viajar gratis.     

respondido por el tangrs

Lea otras preguntas en las etiquetas

Aviso / recomendación de conmutación de señal necesarios Módulo bluetooth HC-06 que funciona como dispositivo esclavo