Proveedor de fábrica de grifos iVIGA
Los científicos encontraron una falla en el sistema de seguridad de algunas tarjetas bancarias
Las tarjetas bancarias contactless son una opción rápida y cómoda para pagar tus compras diarias. Es fundamental tocar tu tarjeta en un terminal POS para realizar una tarifa sin contacto.
Se pueden cargar pequeñas cantidades de forma rápida y sencilla en el hasta, y las cartas se consideran seguras porque se requiere un código de seguridad para debitar grandes sumas.
La mayoría de estas transacciones se basan en el estándar EMV., que se aplica a más 9 mil millones de naipes en todo el mundo. Aunque ha sido revisado varias veces desde entonces, El algoritmo avanzado tiene una serie de vulnerabilidades que pueden ser explotadas..
Mientras otras autoridades de seguridad ya descubren errores en el estándar, científicos en ETH Zúrich Ahora hemos introducido una nueva, grave laguna de seguridad.
Como paso preliminar, El profesor de seguridad de datos David Basin colaboró con Ralf Sasse, investigador principal del Departamento de Ciencias de la Computación, and Jorge Toro Pozo, un postdoctorado en la reunión de Basin, diseñar un maniquí especialmente diseñado para que pudieran examinar los elementos centrales del estándar EMV. Encontraron un agujero importante en un protocolo utilizado por la empresa de tarjetas bancarias Visa.
Esta vulnerabilidad permite a los estafadores obtener fondos de tarjetas perdidas o robadas., aunque se supone que las cantidades se validan ingresando un código PIN.
Esta vulnerabilidad permite a los estafadores recolectar activos de tarjetas perdidas o robadas., aunque las cantidades deben acreditarse introduciendo un código PIN. Toro lo sitúa principalmente: “A todas las expectativas y funciones., el código PIN es ineficaz aquí mismo”.
Diferentes corporaciones, similar a mastercard, Específico americano, y JCB, No utilices el mismo protocolo Visa., por lo que estas cartas no se verán afectadas por la laguna de seguridad. Sin embargo, La falla puede aplicarse a las tarjetas emitidas por Uncover y UnionPay., que utilizan un protocolo muy parecido al de Visa.
Los analistas tuvieron la opción de demostrar que es posible aprovechar la vulnerabilidad en la práctica., a pesar de que es un ciclo realmente impredecible. Inicialmente desarrollaron una aplicación Android y la instalaron en dos teléfonos móviles con NFC.. Esto permitió la 2 unidades para examinar los datos del tarjeta de crédito chip e información comercial con terminales de pago. Inesperadamente, Los analistas no tuvieron que eludir ninguna característica de seguridad específica en el sistema operativo de Android para instalar la aplicación..
El primer teléfono celular se utiliza para escanear los datos más importantes de la tarjeta de pago y transferirlos al segundo teléfono para obtener fondos no aprobados de una tarjeta bancaria de terceros.. Luego se utiliza el siguiente teléfono móvil para cargar la cantidad en la caja, El mismo número de titulares de tarjetas lo hacen últimamente.. Como la solicitud declara que el comprador es la persona aprobada de la tarjeta bancaria., el vendedor no percibe que la transacción es fraudulenta. El problema fundamental es que la aplicación supera al sistema de seguridad del cartón.. Aunque la suma supera el límite y requiere la confirmación del PIN, no se solicita ningún código.
Utilizando sus tarjetas bancarias en varios puntos de venta, Los investigadores pudieron demostrar que el esquema de fraude funciona..
toro dice, "La estafa funciona con tarjetas bancarias y de débito emitidas en varios países y en distintas monedas".
Los científicos ya han alertado a Visa sobre la vulnerabilidad, al mismo tiempo proponiendo una solución específica.
Recorrido explica, “Es necesario hacer tres ajustes al protocolo, que luego se instalará en los terminales de pago con la siguiente actualización de software. Es muy posible que se ejecute con un mínimo esfuerzo.. No existe la necesidad de intercambiar las cartas., y todos los cambios se ajustan al estándar EMV”.
Referencia de la revista:
- Cuenca y otros. El estándar EMV: Romper, Reparar, Confirmar. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
