iVIGA kraanitehase tarnija
Teadlased leidsid mõne pangakaardi turvasüsteemis vea
Kontaktivabad pangakaardid on kiire ja mugav võimalus regulaarsete ostude eest tasumiseks. Kontaktivaba tasu saamiseks on oluline oma kaart kassaautomaati kraanida.
Väikesed kogused saab laadida kiiresti ja lihtsalt kuni, ja mängukaarte peetakse turvaliseks, kuna hiiglaslike summade debiteerimiseks on vaja turvakoodi.
Enamik neist tehingutest põhinevad peamiselt EMV tavapärasel, mis kehtib üle 9 miljardit mängukaarti kogu maailmas. Kuigi sellest ajast alates on seda korduvalt muudetud, täiustatud algoritmil on mitmeid turvaauke, mida võidakse ära kasutada.
Kuna erinevad ohutusasutused avastavad juba tavapärases vigu, teadlased aadressil ETH Zürich on nüüd kasutusele võtnud täiendava, tõsine ohutuslünk.
Esialgse sammuna, Andmeohutuse professor David Basin tegi koostööd Ralf Sassega, vanemteadur sülearvutiteaduse osakonnas, ja Jorge Toro Pozo, järeldoktor Basini kogunemisel, kujundada selleks otstarbeks ehitatud mannekeen, et nad saaksid uurida EMV tavapäraste keskseid osi. Nad avastasid pangakaardifirma Visa kasutatud protokollis olulise augu.
See haavatavus võimaldab petturitel omandada raha mängukaartidelt, mis on valesti paigutatud või varastatud, kuigi väidetavalt kinnitatakse kogused PIN-koodi sisestamisega.
See haavatavus annab petturitele võimaluse koguda mängukaartidelt asju, mis on valesti paigutatud või varastatud, olenemata sellest, et kogused tuleb akrediteerida PIN-koodi sisestamisega. Toro asetab selle põhimõtteliselt: “Kõigile ootustele ja funktsioonidele, PIN-kood on siin ebaefektiivne.
Erinevad korporatsioonid, sarnane Mastercardiga, Ameerika spetsiifiline, ja JCB, ärge kasutage identset Visa protokolli, nii et neid mängukaarte turvalünk ei mõjuta. Sellest hoolimata, viga võib kehtida Uncoveri ja UnionPay välja antud mängukaartidel, mis kasutavad sarnaselt Visa protokolliga.
Analüütikutel oli võimalus näidata, et järgneva haavatavuse ärakasutamine on mõeldav, hoolimata sellest, et see on tõeliselt ettearvamatu tsükkel. Algselt koostasid nad Androidi tarkvara ja panid selle kahele NFC-toega mobiiltelefonile. See võimaldas 2 ühikut andmetega tutvumiseks krediitkaart tasuterminalidega kiibi- ja kaubandusteave. Ootamatult, analüütikud ei pidanud rakendusse lisamiseks Androidi tööraamistikus ühtegi konkreetset turvafunktsiooni kõrvale hoidma.
Esimest mobiiltelefoni kasutatakse kulukaardilt väga oluliste andmete skannimiseks ja teise mobiiltelefoni ülekandmiseks, et hankida kolmanda osapoole pangakaardilt kinnitamata raha.. Seejärel kasutatakse kassas oleva koguse debiteerimiseks järgmist mobiiltelefoni, identsed kaardiomanikud teevad seda viimasel ajal. Kuna taotleja kinnitab, et ostja on pangakaardiga tunnustatud isik, müüja ei taju, et tehing on pettus. Keskne probleem on see, et rakendus ületab kartongi ohutussüsteemi. Kuigi summa ületab piirangut ja nõuab PIN-koodi kinnitamist, koodi ei küsita.
Pangakaartide kasutamine erinevatel müügiteguritel, teadlased olid suutnud näidata, et petuskeemid toimivad.
Toro ütleb, "Rebimine toimib mitmes riigis erinevates valuutades välja antud deebet- ja pangakaartidega."
Teadlased on juba Visat haavatavusest hoiatanud, samal ajal, pakkudes välja valitud vastuse.
Ringkäik selgitab, “Protokolli tuleb teha kolm muudatust, mille võib seejärel panna tasuterminalidesse koos järgneva tarkvaraprogrammi asendamisega. Seda saab väga hästi teostada minimaalse pingutusega. Sellist asja nagu soov mängukaarte vahetada pole olemas, ja kõik kohandused kohanduvad EMV tavapärasega.
Ajakirja viide:
- Basin et al. EMV tava: Katkesta, Remont, Kinnita. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
