Naučnici su otkrili propust u sigurnosnom sistemu nekih kreditnih kartica

Beskontaktne bankovne kartice su brza i zgodna opcija za plaćanje redovnih kupovina. Neophodno je slaviti svoju karticu na POS mašini za beskontaktno plaćanje.

Male količine se mogu puniti brzo i jednostavno na do, a karte za igranje se smatraju sigurnima jer je potreban sigurnosni kod za zaduženje ogromnih suma.

Većina tih transakcija se prvenstveno zasniva na uobičajenom EMV-u, što se odnosi na preko 9 milijardi karata za igranje širom svijeta. Iako je od tada više puta revidiran, napredni algoritam ima brojne ranjivosti koje se mogu iskoristiti.

Uz različite sigurnosne vlasti već otkrivaju greške u uobičajenom, naučnici u ETH Zurich su sada uveli dalje, ozbiljna sigurnosna rupa.

Kao preliminarni korak, Profesor sigurnosti podataka David Basin sarađivao je sa Ralfom Sasseom, viši istraživač u Odjelu za nauku o laptopima, i Jorge Toro Pozo, postdoktor na Basin's skupu, da dizajniraju namjenski napravljeni maneken kako bi mogli ispitati središnje dijelove uobičajenog EMV-a. Otkrili su vitalnu rupu u protokolu koji koristi firma za bankovne kartice Visa.

Ova ranjivost omogućava prevarantima da steknu sredstva od igraćih karata koje su izgubljene ili ukradene, iako se navodno količine potvrđuju unošenjem PIN koda.

Ova ranjivost omogućava prevarantima da akumuliraju stvari sa igraćih karata koje su zagubljene ili ukradene, bez obzira na to što količine treba akreditovati unošenjem PIN koda. Toro to uglavnom postavlja: “Za sva očekivanja i funkcije, PIN kod je neefikasan upravo ovdje.”

Različite korporacije, slično kao Mastercard, American Specific, i JCB, nemojte koristiti identičan Visa protokol, tako da ove karte za igranje neće biti pod utjecajem sigurnosne rupe. Ipak, nedostatak se može odnositi na igraće karte koje izdaju Uncover i UnionPay, koji koriste protokol sličan onom Visa.

Analitičari su imali izbor da pokažu da je moguće iskoristiti ranjivost u nastavku, bez obzira što je to zaista nepredvidiv ciklus. U početku su konstruisali Android softver i stavili ga na dva mobilna telefona sa omogućenom NFC tehnologijom. Ovo je omogućilo 2 jedinice za pregled podataka iz kreditna kartica informacije o čipu i trgovini s terminalima za naknade. Neocekivano, analitičari nisu morali zaobići nikakve posebne sigurnosne značajke unutar radnog okvira Androida da bi ubacili aplikaciju.

Prvi mobilni telefon se koristi za skeniranje veoma važnih podataka sa kartice troškova i njihovo prebacivanje na drugi mobilni telefon kako bi se dobila neodobrena sredstva sa bankovne kartice treće strane. Sledeći mobilni telefon se zatim koristi za zaduženje količine na blagajni, identičan broj vlasnika kartica u posljednje vrijeme. Kako se u prijavi navodi da je kupac osoba koja je odobrila bankovnu karticu, prodavac ne smatra da je transakcija lažna. Ključni problem je da aplikacija nadmašuje sigurnosni sistem kartona. Iako je iznos iznad ograničenja i zahtijeva potvrdu PIN-a, ne traži se kod.

Koristeći svoje bankovne kartice u različitim faktorima prodaje, istraživači su bili u stanju da predstave da šema prevare funkcioniše.

Toro kaže, “Pljačka funkcionira s debitnim i bankovnim karticama izdanim u nekoliko zemalja u različitim valutama.”

Naučnici su već upozorili Visu na ranjivost, u identično vrijeme predlažući odabrani odgovor.

Tour objašnjava, “Potrebna su tri prilagođavanja protokola, koji se zatim može staviti u terminale za naknade uz naknadnu zamjenu softverskog programa. Može se vrlo dobro izvesti uz minimalan napor. Ne postoji želja za zamjenom karata za igru, i sva podešavanja se prilagođavaju uobičajenom EMV-u.”

Journal Reference:

1. Basin et al. EMV običaj: Pauza, Repair, Potvrdi. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249