Alimlər bəzi kredit kartlarının təhlükəsizlik sistemində qüsur aşkar ediblər

Kontaktsız bank kartları müntəzəm alış-veriş üçün ödəniş etmək üçün sürətli və əlverişli seçimdir. Kontaktsız ödəniş etmək üçün kartınızı POS-a bağlamaq vacibdir.

Kiçik miqdarlar sürətlə və sadəcə olaraq yüklənə bilər, və oyun kartlarının etibarlı olduğu düşünüldüyü üçün nəhəng məbləğləri borçlandırmaq üçün təhlükəsizlik kodu lazımdır.

Bu əməliyyatların əksəriyyəti ilk növbədə EMV adi halına əsaslanır, üzərində aiddir 9 dünyada milyard oyun kartı. Baxmayaraq ki, o vaxtdan bəri bir neçə dəfə yenidən işlənib, qabaqcıl alqoritmdə istifadə oluna bilən bir sıra zəifliklər var.

Müxtəlif təhlükəsizlik orqanları ilə artıq adi səhvlər aşkar edilir, da alimlər ETH Sürix indi bir daha təqdim etdik, ciddi təhlükəsizlik boşluğu.

İlkin addım kimi, Məlumat Təhlükəsizliyi professoru David Basin Ralf Sasse ilə əməkdaşlıq etdi, Laptop Elmləri Bölməsinin baş elmi işçisi, və Xorxe Toro Pozo, Basin toplantısında postdok, EMV adi halının mərkəzi hissələrini araşdıra bilməsi üçün məqsədyönlü şəkildə hazırlanmış maneken dizayn etmək. Onlar Visa bank kartı firmasının istifadə etdiyi protokolda həyati bir boşluq aşkar ediblər.

Bu boşluq fırıldaqçılara yersiz və ya oğurlanmış oyun kartlarından pul əldə etməyə imkan verir., miqdarların PİN kodu daxil etməklə təsdiqləndiyi iddia edilir.

Bu zəiflik fırıldaqçılara yersiz və ya oğurlanmış oyun kartlarından əşyaları toplamaq imkanı verir., miqdarların PİN kodu daxil etməklə akkreditə olunmasından asılı olmayaraq. Toro onu əsasən yerləşdirir: “Bütün gözləntilər və funksiyalar üçün, PİN kodu burada təsirsizdir”.

Fərqli korporasiyalar, Mastercard-a bənzəyir, Xüsusi Amerika, və JCB, eyni Visa protokolundan istifadə etməyin, beləliklə, bu oyun kartları təhlükəsizlik boşluğundan təsirlənməyəcək. Buna baxmayaraq, qüsur Uncover və UnionPay tərəfindən buraxılmış oyun kartlarına aid edilə bilər, Visa kimi bir protokoldan istifadə edir.

Analitiklər aşağıdakı zəiflikdən yararlanmağın mümkün olduğunu nümayiş etdirmək seçimi etdi., həqiqətən gözlənilməz bir dövrə olmasına baxmayaraq. Onlar əvvəlcə bir Android proqram təminatı yaratdılar və onu iki NFC funksiyalı mobil telefona yerləşdirdilər. Bu imkan verdi 2 verilənləri araşdırmaq üçün vahidlər kredit kartı ödəniş terminalları ilə çip və ticarət məlumatları. gözlənilmədən, Tətbiqə yerləşdirmək üçün analitiklər Android iş çərçivəsi daxilində hər hansı bir xüsusi təhlükəsizlik funksiyasından yan keçməli deyildi..

Birinci mobil telefon xərc kartından çox vacib məlumatları skan etmək və üçüncü tərəfin bank kartından təsdiqlənməmiş vəsait əldə etmək üçün ikinci mobil telefona köçürmək üçün istifadə olunur.. Sonra kassadakı məbləği çıxarmaq üçün aşağıdakı mobil telefon istifadə olunur, kart sahiblərinin eyni çeşidi son vaxtlar bunu edir. Müraciət edən müştərinin bank kartının təsdiq edilmiş şəxs olduğunu bəyan etdiyi kimi, satıcı əməliyyatın saxta olduğunu başa düşmür. Əsas məsələ, tətbiqin kartonun təhlükəsizlik sistemindən üstün olmasıdır. Baxmayaraq ki, məbləğ məhdudiyyəti keçib və PİN kodun təsdiqini tələb edir, heç bir kod tələb olunmur.

Müxtəlif satış amillərində bank kartlarından istifadə, tədqiqatçılar fırıldaqçılıq sxeminin işlədiyini təqdim edə bilmişdilər.

Toro deyir, “Qırma bir neçə ölkədə müxtəlif valyutalarda buraxılmış debet və bank kartları ilə işləyir.”

Alimlər artıq Visa-nı zəiflik barədə xəbərdar ediblər, seçilmiş cavabı təklif edən eyni vaxtda.

Tur izah edir, “Protokola üç düzəliş edilməlidir, daha sonra proqram təminatının dəyişdirilməsi ilə ödəniş terminallarına daxil edilə bilər. Minimum səylə çox yaxşı həyata keçirilə bilər. Oyun kartlarını dəyişdirmək istəyi kimi bir şey yoxdur, və bütün düzəlişlər EMV adi vəziyyətinə uyğunlaşdırılır."

Jurnal arayışı:

1. Basin və b. EMV Adəti: Fasilə, Təmir, Təsdiq edin. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249