Forskere opdagede en fejl i sikkerhedssystemet på nogle kreditkort

De kontaktløse bankkort er en hurtig og praktisk mulighed for at betale for løbende køb. Det er vigtigt, at du hælder dit kort på en POS-maskine for at betale et kontaktløst gebyr.

Små mængder kan opkræves hurtigt og enkelt på indtil, og spillekortene er tænkt som sikre, da der kræves en sikkerhedskode for at debitere kæmpe beløb.

De fleste af disse transaktioner er primært baseret på den almindelige EMV, som gælder for over 9 milliarder spillekort på verdensplan. Selvom det er blevet revideret flere gange siden da, den avancerede algoritme har en række sårbarheder, der kan udnyttes.

Med forskellige sikkerhedsmyndigheder opdager allerede fejl i det sædvanlige, videnskabsmænd kl ETH Zürich har nu indført en yderligere, alvorligt sikkerhedshul.

Som et indledende skridt, Professor i datasikkerhed David Basin samarbejdede med Ralf Sasse, en seniorforsker i afdelingen for Laptop Science, og Jorge Toro Pozo, en postdoc i Basins forsamling, at designe en specialbygget mannequin, så de kan undersøge de centrale dele af EMV-normalen. De opdagede et vigtigt hul i en protokol, der blev brugt af bankkortfirmaet Visa.

Denne sårbarhed gør det muligt for svindlere at erhverve penge fra spillekort, der er blevet forlagt eller stjålet, selvom mængderne påstås at være valideret ved at indtaste en pinkode.

Denne sårbarhed giver svindlere mulighed for at samle ejendele fra spillekort, der er blevet forlagt eller stjålet, uanset at mængderne skal akkrediteres ved at indtaste en pinkode. Toro placerer det primært: "Til alle forventninger og funktioner, PIN-koden er ineffektiv lige her."

Forskellige selskaber, ligner Mastercard, Amerikansk specifik, og JCB, brug ikke den identiske Visa-protokol, så disse spillekort vil ikke blive påvirket af sikkerhedshullet. Ikke desto mindre, fejlen kan gælde for spillekort udstedt af Uncover og UnionPay, som bruger en protokol, der ligner Visas.

Analytikere havde valget mellem at vise, at det er tænkeligt at drage fordel af den sårbarhed, der følger, uanset at det er en virkelig uforudsigelig cyklus. De konstruerede oprindeligt en Android-software og satte den i to NFC-aktiverede mobiltelefoner. Dette tillod 2 enheder til at gennemse data fra kreditkort chip og handelsoplysninger med gebyrterminaler. Uventet, analytikerne behøvede ikke at omgå nogen særlige sikkerhedsfunktioner inden for Android-arbejdsrammerne for at sætte i appen.

Den første mobiltelefon bruges til at scanne de meget vigtige data fra omkostningskortet og overføre dem til den anden mobiltelefon for at få ikke-godkendte midler fra et tredjeparts bankkort. Følgende mobiltelefon bruges derefter til at debitere mængden ved kassen, det samme antal kortholdere gør som for nylig. Da ansøgeren erklærer, at shopper er bankkortets godkendte person, Sælgeren opfatter ikke, at transaktionen er svigagtig. Det centrale problem er, at appen udmanøvrerer pappets sikkerhedssystem. Selvom summen er over grænsen og kræver PIN-bekræftelse, der anmodes ikke om nogen kode.

Bruger deres bankkort på forskellige salgsfaktorer, forskerne havde været i stand til at påvise, at svindelordningen virker.

siger Toro, "Rivningen fungerer med debet- og bankkort udstedt i flere nationer i forskellige valutaer."

Forskere har allerede advaret Visa om sårbarheden, på samme tidspunkt at foreslå et udvalgt svar.

Tur forklarer, "Der skal laves tre justeringer af protokollen, som så kunne sættes ind i gebyrterminalerne med det efterfølgende softwareprogram udskiftning. Det kan meget vel udføres med minimal indsats. Der er ikke sådan noget som et ønske om at udveksle spillekortene, og alle justeringer tilpasser sig det almindelige EMV."

Journalreference:

1. Basin et al. Det sædvanlige EMV: Pause, Reparation, Bekræfte. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249