اكتشف العلماء ثغرة في النظام الأمني ​​لبعض بطاقات الائتمان

تعد البطاقات المصرفية اللاتلامسية خيارًا سريعًا وسهلاً للدفع مقابل المشتريات بشكل منتظم. من الضروري أن تضع بطاقتك على جهاز نقطة البيع لتسديد رسوم بدون تلامس.

يمكن شحن الكميات الصغيرة بسرعة وببساطة حتى الساعة, وتعتبر الأوراق آمنة لأن رمز الأمان مطلوب لخصم مبالغ كبيرة.

تعتمد معظم هذه المعاملات على معيار EMV, الذي ينطبق على أكثر 9 مليار ورقة لعب في جميع أنحاء العالم. على الرغم من أنه تم تنقيحه عدة مرات منذ ذلك الحين, تحتوي الخوارزمية المتقدمة على عدد من نقاط الضعف التي يمكن استغلالها.

مع اكتشاف سلطات السلامة المختلفة بالفعل أخطاء في المعتاد, العلماء في ETH زيوريخ لقد أدخلت الآن أبعد من ذلك, ثغرة أمنية خطيرة.

كخطوة أولية, تعاون أستاذ سلامة البيانات ديفيد باسين مع رالف ساسي, باحث أول في قسم علوم الكمبيوتر المحمول, وخورخي تورو بوزو, ما بعد الدكتوراه في تجمع باسين, لتصميم نموذج مصمم لهذا الغرض حتى يتمكنوا من فحص الأجزاء المركزية لمعيار EMV. لقد اكتشفوا ثغرة حيوية في البروتوكول الذي تستخدمه شركة Visa للبطاقات المصرفية.

تتيح هذه الثغرة الأمنية للمحتالين الحصول على أموال من أوراق اللعب التي تم ضياعها أو سرقتها, على الرغم من أنه يُزعم أنه تم التحقق من صحة الكميات عن طريق إدخال رمز PIN.

تمكن هذه الثغرة الأمنية المحتالين من جمع الممتلكات من أوراق اللعب التي فقدت أو سُرقت, بغض النظر عن أن الكميات تحتاج إلى اعتماد من خلال إدخال الرقم السري. يضعها تورو في المقام الأول: "لجميع التوقعات والوظائف, رمز PIN غير فعال هنا."

شركات مختلفة, على غرار ماستركارد, الأمريكية الخاصة, و جي سي بي, لا تستخدم نفس بروتوكول التأشيرة, لذلك لن تتأثر أوراق اللعب هذه بثغرة الأمان. ومع ذلك, قد ينطبق الخلل على أوراق اللعب الصادرة عن Uncover وUnionPay, والتي تستخدم بروتوكولًا يشبه إلى حد كبير بروتوكول Visa.

كان لدى المحللين خيار إظهار أنه من الممكن الاستفادة من الثغرة الأمنية في المتابعة, بغض النظر عن أنها دورة لا يمكن التنبؤ بها حقًا. لقد قاموا في البداية بإنشاء برنامج Android وتثبيته على هاتفين محمولين يدعمان تقنية NFC. وقد سمح هذا 2 وحدات للاطلاع على البيانات من بطاقة إئتمان معلومات الرقائق والتجارة مع محطات الرسوم. بشكل غير متوقع, ولم يضطر المحللون إلى تجاوز أي ميزات أمان معينة ضمن إطار عمل Android لتثبيت التطبيق.

يتم استخدام الهاتف الخلوي الأول لمسح البيانات المهمة جدًا من بطاقة التكلفة ونقلها إلى الهاتف المحمول الثاني للحصول على أموال غير معتمدة من بطاقة مصرفية تابعة لجهة خارجية. يتم بعد ذلك استخدام الهاتف المحمول التالي لخصم المبلغ عند الخروج, نفس العدد من حاملي البطاقات يفعلون في الآونة الأخيرة. حيث يقر مقدم الطلب أن المتسوق هو الشخص المعتمد للبطاقة المصرفية, لا يدرك البائع أن المعاملة احتيالية. المشكلة المحورية هي أن التطبيق يتفوق على نظام أمان الورق المقوى. على الرغم من أن المبلغ يتجاوز الحد ويتطلب تأكيد رقم التعريف الشخصي, لم يتم طلب أي رمز.

استخدام بطاقاتهم المصرفية في عوامل البيع المتنوعة, وتمكن الباحثون من إثبات نجاح مخطط الاحتيال.

يقول تورو, "تعمل عملية الاحتيال باستخدام بطاقات الخصم والبطاقات المصرفية الصادرة في عدة دول بعملات متنوعة."

لقد نبه العلماء بالفعل شركة Visa إلى الثغرة الأمنية, في نفس الوقت يقترح إجابة مختارة.

رحلة يشرح, "يجب إجراء ثلاثة تعديلات على البروتوكول, والتي يمكن بعد ذلك تثبيتها في محطات الدفع مع تحديث البرنامج التالي. من الممكن أن يتم تنفيذه بأقل جهد. لا يوجد شيء اسمه الرغبة في تبادل أوراق اللعب, وجميع التغييرات تتوافق مع معيار EMV.

مرجع المجلة:

1. حوض وآخرون. معيار EMV: استراحة, بصلح, يتأكد. arXiv:2006.08249 [CS.CR] arxiv.org/abs/2006.08249