На официальном сайте магазина Google Play есть специальное бесплатное приложение, которое имеет название «EMV NFC pay card reader». Используя эту программу, можно по прикосновению читать данные о проведенных карточных платежах с изделий PayPass и payWave, выпущенных российскими банками. Первым о данной уязвимости сообщил Антон Волнухин в своем твиттере.
При помощи данного приложения оказалось возможно прочитать данные о транзакциях и суммы, переведенные на тот или иной счет. Однако, назначение платежей все равно осталось неизвестным. Тем не менее, дату, сумму и номер карты, на которую был совершен платеж, приложение в состоянии прочитать и отобразить на экране смартфона своего владельца без всякой регистрации.
Волнухин сообщил, что проверил все свои банковские карты от системы PayPass. При этом выяснилась интересная деталь — уязвимость затрагивает только обладателей карт, произведенных российскими учреждениями, а вот зарубежные кредитки полностью защищены от подобной атаки. Возможной причиной такой странности сам Волнухин считает настройки безопасности, устанавливаемые отечественными банками.
Проблема эта затронула участников известного интернет-сообщества Friendfeed, которое представляет собой сервис микроблогов. Так вот, участники этой системы сделали еще одно открытие — программа «EMV NFC pay card reader» дает возможность считать информацию не только с бесконтактных карт, а с обычных транзакционных карт без поддержки NFC. Тестированию подверглись карты от «Райффайзенбанка», «Альфа-Банка», «Тинькофф Кредитные Системы» и «Ситибанка», уязвимой оказалась и карта от «Яндекс.Денег».
Иногда «читалка» сбоила, показывая не все транзакции, или же отображая их в неверном порядке. Тем не менее, при использовании зарубежной карты информация не отображалась вовсе, что говорит о высоком качестве защиты на европейских и американских кредитках.
Комментируя материал, пользователи предположили о том, что «читалка» в руках человека не только служит средством развелечения, но и отправляет полученные данные кому-то третьему, таким образом служа инструментом для мошенников. Однако, при обследовании кодов приложения ничего подобного выявлено не было.
Используя NFC-читалку нельзя узнать, на что именно потратил деньги пользователь, однако доступ к суммам и датам проведенных транзакций может, по мнению некоторых, служит серьезным нарушением частной жизни. Однако, большинство пользователей данному факту значения не придают, так как суммы и даты транзакций на самом деле знают очень многие, например — кассиры и официантки, так что назвать такую информацию «личной» можно с очень большой натяжкой.