Vulnerabilidade Sony FeliCa encontrada em cartões de transporte IC anteriores a 2017

A Sony revelou que alguns de seus cartões IC sem contato FeliCa enviados antes de 2017 são vulneráveis à leitura e modificação não autorizada de dados. Os cartões baseados no FeliCa são populares no Japão e amplamente usados como cartões de trem, de identificação e de pagamento. Outros países, incluindo os Estados Unidos, Bangladesh, Hong Kong, Indonésia e Tailândia, também usaram o sistema.

Quem viaja para o Japão geralmente encontra o FeliCa como cartões de transporte público, como o Suica ou Pasmo usados no JR East de Tóquio e Pasmo, em Tóquio, nas redes de trens e ônibus. Esses cartões NFC sem contato podem ser pré-carregados com dinheiro e usados para viagens. Eles também podem ser usados para comprar bebidas, alimentos e produtos em máquinas de venda automática, restaurantes e lojas que suportam esse sistema de pagamento.

A Sony não divulgou detalhes da vulnerabilidade, mas terceiros descobriram a vulnerabilidade e notificaram a Sony de acordo com as "Information Security Early Warning Partnership Guidelines" da Information Technology Promotion Agency (IPA)uma estrutura de parceria de segurança japonesa criada para minimizar os danos.

A vulnerabilidade nesses cartões IC permite que os hackers leiam e modifiquem os dados apesar da criptografia AES/DES, abrindo a porta para o roubo do saldo da conta, portanto, os proprietários de cartões anteriores a 2017 devem transferir os saldos de suas contas para um novo cartão o mais rápido possível. As carteiras eletrônicas, como as armazenadas em telefones ou smartwatches, não estão em risco.

A descoberta da vulnerabilidade mostra mais uma vez que qualquer coisa eletrônica provavelmente será hackeada algum dia. Os leitores com Bitcoins em uma carteira ou conta on-line devem considerar uma carteira off-line, como esta da Amazon, para proteger seu dinheiro, pois os hackers roubaram milhões em cybercoins de uma variedade de contas on-line.