Wetenskaplikes het 'n fout in die sekuriteitstelsel van sommige kredietkaarte ontdek

Die kontaklose bankkaarte is 'n vinnige en handige opsie om gereeld voor aankope te betaal. Dit is noodsaaklik om jou kaart op 'n POS-masjien te kraan om 'n kontaklose fooi te maak.

Klein hoeveelhede kan vinnig en eenvoudig op die tot gehef word, en die speelkaarte word as veilig beskou as gevolg van 'n veiligheidskode wat vereis word om reusebedrae te debiteer.

Die meeste van daardie transaksies is hoofsaaklik gebaseer op die alledaagse EMV, wat van toepassing is op oor 9 miljard speelkaarte wêreldwyd. Alhoewel dit sedertdien verskeie kere hersien is, die gevorderde algoritme het 'n aantal kwesbaarhede wat uitgebuit kan word.

Met verskillende veiligheidsowerhede wat reeds foute in die gewone ontdek, wetenskaplikes by ETH Zürich het nou 'n verdere ingestel, ernstige veiligheidsskuiwergat.

As 'n voorlopige stap, David Basin, professor in dataveiligheid, het met Ralf Sasse saamgewerk, 'n senior navorser binne die Afdeling Skootrekenaarwetenskap, en Jorge Toro Pozo, 'n postdoktor in Basin se byeenkoms, om 'n doelgeboude mannequin te ontwerp sodat hulle die sentrale dele van die EMV alledaagse kan ondersoek. Hulle het 'n belangrike gat ontdek in 'n protokol wat deur die bankkaartfirma Visa gebruik word.

Hierdie kwesbaarheid laat bedrieërs toe om fondse te bekom uit speelkaarte wat misplaas of gesteel is, hoewel die hoeveelhede na bewering bekragtig word deur in 'n PIN-kode in te gaan.

Hierdie kwesbaarheid bemagtig bedrieërs om besittings te versamel van speelkaarte wat misplaas of gesteel is, ongeag dat die hoeveelhede geakkrediteer moet word deur in 'n PIN-kode in te gaan. Toro plaas dit hoofsaaklik: “Aan alle verwagtinge en funksies, die PIN-kode is ondoeltreffend hier.”

Verskillende korporasies, soortgelyk aan Mastercard, Amerikaanse spesifiek, en JCB, moenie die identiese Visa-protokol gebruik nie, dus sal hierdie speelkaarte nie deur die veiligheidsskuiwergat geraak word nie. Nietemin, die fout kan van toepassing wees op die speelkaarte wat deur Uncover en UnionPay uitgereik is, wat 'n protokol baie soos Visa's gebruik.

Ontleders het die keuse gehad om aan te toon dat dit denkbaar is om voordeel te trek uit die kwesbaarheid wat volg, ongeag dat dit 'n werklik onvoorspelbare siklus is. Hulle het aanvanklik 'n Android-sagteware opgebou en dit op twee NFC-geaktiveerde selfone geplaas. Dit het die 2 eenhede om data van die kredietkaart chip en handel inligting met fooi terminale. Onverwags, die ontleders hoef nie enige spesifieke veiligheidskenmerke binne die Android-werkraamwerk te systap om die toepassing in te sit nie.

Die eerste selfoon word gebruik om die baie belangrike data vanaf die kostekaart te skandeer en dit na die tweede selfoon oor te dra om ongegoedgekeurde fondse van 'n derdeparty-bankkaart te kry. Die volgende selfoon word dan gebruik om die hoeveelheid op die betaalpunt te debiteer, die identiese verskeidenheid kaarthouers doen soos onlangs. Soos die aansoeker verklaar dat die koper die bankkaart se goedgekeurde persoon is, die verkoper sien nie dat die transaksie bedrieglik is nie. Die belangrikste kwessie is dat die toepassing die karton se veiligheidstelsel oorskry. Alhoewel die som oor die beperking is en PIN-bevestiging vereis, geen kode word aangevra nie.

Gebruik hul bankkaarte by verskillende verkoopsfaktore, die navorsers kon aantoon dat die bedrogskema werk.

sê Toro, "Die rip-off werk met debiet- en bankkaarte wat in verskeie lande in verskillende geldeenhede uitgereik is."

Wetenskaplikes het Visa reeds gewaarsku oor die kwesbaarheid, op dieselfde tyd om 'n geselekteerde antwoord voor te stel.

Toer verduidelik, “Drie aanpassings moet aan die protokol gemaak word, wat dan in die fooi-terminale geplaas kan word met die daaropvolgende sagtewareprogram vervang. Dit kan heel moontlik met minimale inspanning uitgevoer word. Daar is nie iets soos 'n wil om die speelkaarte te verwissel nie, en alle aanpassings pas by die alledaagse EMV aan.”

Joernaalverwysing:

1. Basin et al. Die EMV gewoonte: Breek, Herstel, Bevestig. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249