Pregunta primero: ¿Existe alguna solución para el MITM pasivo?
He encontrado ejemplos de ataques de retransmisión NFC que usan teléfonos para evitar el requisito de proximidad para los pagos NFC.
Se ve algo como esto:
[card | phone1] ----------------------> [phone2 | terminal]
(la operación normal sería [card | terminal]
).
Muchos artículos mencionan esto como una vulnerabilidad, pero no he visto ninguna manera decente de mitigar esto. La mitigación Una que veo que se describe es tener tiempos más estrictos en las transacciones, pero eso sería fácilmente derrotado con un equipo especializado, en lugar de teléfonos disponibles. Supongo que si presionas esto, en teoría podrías limitar tanto el tiempo de respuesta que sería físicamente imposible hacer la transmisión (pero luego, buena suerte, hacer que esto sea barato y confiable).
TL; DR: ¿Existe alguna mitigación posible o los requisitos de proximidad en varias tecnologías son básicamente basura?