I scientisti anu scupertu un difettu in u sistema di sicurezza di certi carte di creditu

E carte bancarie senza cuntattu sò una opzione rapida è pratica per pagà per una compra regulare. Hè essenziale chjappà a vostra carta in una macchina POS per fà una tarifa senza cuntattu.

Piccole quantità pò esse caricate rapidamente è solu nantu à u finu, è i carte di ghjocu sò pensati di sicuru cum'è u risultatu di un codice di sicurità hè necessariu di debitu sume giganti.

A maiò parte di sti transazzioni sò basati principarmenti nantu à u locu cumuni EMV, chì s'applica à sopra 9 miliardi di carte da ghjucà in u mondu. Ancu s'ellu hè statu rivisatu in parechje occasioni da tandu, l'algoritmu avanzatu hà una quantità di vulnerabilità chì ponu esse sfruttate.

Cù diverse autorità di sicurezza chì anu digià scupertu errori in u solitu, scienziati à ETH Zurich avà hà introduttu un altru, lacuna di sicurezza severa.

Cum'è un passu preliminari, U prufessore di Data Safety David Basin hà collaboratu cù Ralf Sasse, un ricercatore senior in a Divisione di Laptop Science, è Jorge Toro Pozo, un postdoc in a riunione di Basin, per disignà un mannequin custruitu apposta per pudè esaminà e parti cintrali di u locu cumuni EMV. Anu scupertu un burato vitale in un protokollu utilizatu da a cumpagnia di carte bancarie Visa.

Questa vulnerabilità permette à i fraudsters d'acquistà fondi da carte di ghjocu chì sò state sbagliate o arrubate, ancu s'è i quantità sò affirmati per esse validati da entra in un codice PIN.

Questa vulnerabilità permette à i fraudsters di accumulà cose da carte da ghjucà chì sò state smarrite o arrubate., a priscinniri chì e quantità deve esse accreditatu da entra in un codice PIN. Toro si mette principalmente: "A tutte e aspettative è funzioni, u codice PIN hè inefficace quì ".

Diverse corporazioni, simile à Mastercard, Specific americanu, è JCB, Ùn aduprate micca u protocolu identicu Visa, cusì queste carte di ghjocu ùn saranu micca affettate da a lacuna di sicurezza. Tuttavia, u difettu pò applicà à e carte di ghjocu emesse da Uncover è UnionPay, chì utilizanu un protokollu assai simili à Visa.

L'analisti anu avutu a scelta di esibisce chì hè cuncepibile per prufittà di a vulnerabilità in seguitu, indipendentemente chì hè un ciculu veramente imprevisible. Inizialmente, anu custruitu un software per Android è l'anu messu in dui telefoni cellulari NFC. Questu hà permessu 2 unità per peruse dati da u carta di creditu chip è infurmazione cummerciale cù terminali di tariffu. Inesperu, l'analisti ùn anu micca bisognu di scaccià ogni funziunalità particulari di sicurità in u quadru di travagliu Android per mette in l'app.

U primu telefuninu hè utilizatu per scansà e dati assai impurtanti da a carta di costu è trasfiriri à u sicondu telefuninu per uttene fondi micca appruvati da una carta bancaria di terzu.. U telefuninu seguente hè allora utilizatu per debitu a quantità in u checkout, a varietà idèntica di i titulari di carte facenu più tardi. Cume a dumanda dichjara chì u cumpratore hè a persona appruvata da a carta bancaria, u venditore ùn percepisce micca chì a transazzione hè fraudulenta. U prublema cruciale hè chì l'app supera u sistema di sicurezza di u cartone. Ancu s'è a somma hè più di u restrittu è richiede l'affirmazione PIN, nisun codice hè dumandatu.

Utilizendu e so carte bancarie in diversi fattori di vendita, i circadori avianu statu capaci di prisentà chì u schema fraudulenta travaglia.

Toro dice, "U rip-off funziona cù carte di debitu è ​​bancarie emesse in parechje nazioni in diverse valute".

I scientisti anu digià avvistatu Visa à a vulnerabilità, nant'à u tempu idèntica prupone una risposta sceltu.

Tour spiega, "Trè aghjustamenti anu da esse fattu à u protocolu, chì puderia esse messe in i terminali di tariffu cù u prugramma di software sussegwente. Pò esse assai bè eseguitu cù un minimu sforzu. Ùn ci hè nunda di vuluntà di scambià e carte di ghjocu, è tutti l'aghjustamenti s'adattanu à u locu cumuni EMV ".

Riferimentu di Journal:

1. Basin et al. L'usu di l'EMV: Break, Riparazione, Cunfirmà. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249