Sciencistoj malkovris difekton en la sekureca sistemo de iuj kreditkartoj

La senkontaktaj bankkartoj estas rapida kaj oportuna elekto por pagi regule por aĉetoj. Estas esenca klavo vian karton sur POS-maŝino por fari senkontaktan kotizon.

Malgrandaj kvantoj povas esti ŝargitaj rapide kaj simple sur la ĝis, kaj la ludkartoj estas pensitaj de sekuraj kiel rezulto de sekureca kodo estas postulata por debeti gigantajn sumojn.

La plej multaj el tiuj transakcioj estas ĉefe bazitaj sur la EMV-komunaĵo, kiu validas por super 9 miliardoj da ludkartoj tutmonde. Kvankam ĝi estis reviziita kelkajn okazojn ekde tiam, la altnivela algoritmo havas kelkajn vundeblecojn, kiuj povas esti ekspluatitaj.

Kun malsamaj sekurecaj aŭtoritatoj jam malkovrantaj erarojn en la kutima, sciencistoj ĉe ETH Zuriko nun enkondukis plian, severa sekureca kaŝpasejo.

Kiel antaŭpaŝo, Profesoro pri Datumsekureco David Basin kunlaboris kun Ralf Sasse, altranga esploristo ene de la Dividado de Tekkomputilo-Scienco, kaj Jorge Toro Pozo, postdoktoro en la kunveno de Basin, dizajni speciale konstruitan manekenon por ke ili ekzamenu la centrajn partojn de la EMV-komunaĵo. Ili malkovris esencan truon en protokolo utiligita fare de bankkarta firmao Visa.

Ĉi tiu vundebleco permesas al fraŭdantoj akiri financon de ludkartoj kiuj estis mislokigitaj aŭ ŝtelitaj, kvankam la kvantoj estas supozitaj esti validigitaj per eniro en PIN-kodon.

Ĉi tiu vundebleco rajtigas fraŭdulojn amasigi havaĵojn el ludkartoj kiuj estis mislokigitaj aŭ ŝtelitaj., sendepende, ke la kvantoj devas esti akredititaj enirante PIN-kodon. Toro lokas ĝin ĉefe: “Al ĉiuj atendoj kaj funkcioj, la PIN-kodo estas senefika ĉi tie.”

Malsamaj korporacioj, simila al Mastercard, Usona Specifaĵo, kaj JCB, ne uzu la identan Visa protokolon, do ĉi tiuj ludkartoj ne estos tuŝitaj de la sekureca kaŝpasejo. Tamen, la difekto povas aplikiĝi al la ludkartoj eldonitaj de Uncover kaj UnionPay, kiuj uzas protokolon tre kiel tiu de Visa.

Analizistoj havis la elekton elmontri, ke estas penseble utiligi la vundeblecon sekvan, sendepende, ke ĝi estas vere neantaŭvidebla ciklo. Ili komence konstruis Android-programaron kaj metis ĝin sur du NFC-ebligitajn poŝtelefonojn. Ĉi tio permesis la 2 unuoj por legi datumojn de la kreditkarto blato kaj komerca informo kun kotizterminaloj. Neatendite, la analizistoj ne devis eviti iujn apartajn sekurecajn funkciojn ene de la Android-labora kadro por meti en la apon.

La unua poŝtelefono estas uzata por skani la tre gravajn datumojn de la kostkarto kaj transdoni ĝin al la dua poŝtelefono por ricevi neaprobitajn financojn de triaparta bankkarto.. La sekva poŝtelefono tiam estas uzata por debeti la kvanton ĉe la kaso, la identa vario de kartposedantoj faras lastatempe. Ĉar la kandidato deklaras, ke la aĉetanto estas la aprobita persono de la bankkarto, la vendisto ne perceptas, ke la transakcio estas fraŭda. La pivota afero estas, ke la programo superas la sekurecan sistemon de la kartono. Kvankam la sumo estas super la limigo kaj postulas PIN-aserton, neniu kodo estas petita.

Uzante siajn bankkartojn ĉe diversaj faktoroj de vendo, la esploristoj estis kapablaj prezenti ke la fraŭda skemo funkcias.

Toro diras, "La trompado funkcias kun debetkartoj kaj bankkartoj eldonitaj en pluraj nacioj en diversaj valutoj."

Sciencistoj jam atentigis Visa pri la vundebleco, sur la sama tempo proponante elektitan respondon.

Turneo klarigas, "Tri alĝustigoj devas esti faritaj al la protokolo, kiu tiam povus esti enmetita ene de la kotizterminaloj kun la posta programaro anstataŭigas. Ĝi povas tre bone esti efektivigita kun minimuma peno. Ne ekzistas tia volo interŝanĝi la ludkartojn, kaj ĉiuj alĝustigoj ĝustigas al la EMV ordinara."

Ĵurnalo-Referenco:

1. Basin et al. La EMV Kutimo: Rompo, Riparo, Konfirmu. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249