Zientzialariek kreditu-txartel batzuen segurtasun-sisteman akats bat aurkitu zuten

Kontakturik gabeko banku-txartelak ohiko erosketak ordaintzeko aukera azkar eta erabilgarri bat dira. Ezinbestekoa da zure txartela POS makina batean sartzea kontakturik gabeko kuota bat egiteko.

Kantitate txikiak azkar eta besterik gabe kargatu daitezke arte, eta joko-kartak segurutzat jotzen dira segurtasun-kode baten ondorioz diru kopuru erraldoiak zorduntzeko.

Transakzio horietako gehienak EMV arruntean oinarritzen dira batez ere, baino gehiagori dagokiona 9 milioika karta jokatzeko mundu osoan. Geroztik hainbat alditan berrikusi den arren, algoritmo aurreratuak ustiatu daitezkeen ahultasun ugari ditu.

Segurtasun agintari ezberdinek ohiko akatsak deskubritzen dituzte dagoeneko, zientzialariak at ETH Zurich beste bat aurkeztu dute orain, segurtasun hutsune larria.

Aurretiazko urrats gisa, David Basin Datuen Segurtasuneko irakasleak Ralf Sasserekin elkarlanean aritu zen, Laptop Science dibisioko ikertzaile seniorra, eta Jorge Toro Pozo, arroaren bilkuran postdok, horretarako eraikitako maniki bat diseinatzea, EMV ohiko lekuaren erdiko zatiak aztertu ahal izateko. Visa banku-txartelen enpresak erabiltzen duen protokoloan ezinbesteko zulo bat aurkitu zuten.

Ahultasun horri esker, iruzurgileek galdutako edo lapurtutako karta-txartetatik dirua eskura ditzakete, kantitateak PIN kodea sartuz baliozkotu direla ustez.

Ahultasun honek iruzurgileei ahalmena ematen die gaizki jarritako edo lapurtutako karta-txartetatik gauzak pilatzeko., kopuruak PIN kodean sartuta egiaztatu behar direla kontuan hartu gabe. Torok jartzen du nagusiki: “Itxaropen eta funtzio guztietara, PIN kodea ez da eraginkorra hemen bertan".

Korporazio desberdinak, Mastercard-en antzekoa, Amerikako Espezifikoa, eta JCB, ez erabili Visa protokolo berdina, beraz, joko-karta horiei ez zaie eragingo segurtasun hutsuneak. Hala ere, akatsa Uncover eta UnionPay-k jaulkitako joko-txartelei aplika dakieke, Visa-ren antzeko protokolo bat erabiltzen dutenak.

Analistek aukera izan zuten ondorengo ahultasunaz baliatzea pentsa daitekeela erakusteko, benetan ezusteko zikloa dela kontuan hartu gabe. Hasieran Android software bat eraiki zuten eta NFC gaitutako bi telefonotan jarri zuten. Horrek baimendu zuen 2 unitateko datuak arakatzeko kreditu txartela txipa eta merkataritza informazioa kuota terminalekin. Ustekabean, analistek ez zuten Android lan-esparruaren barruan segurtasun-eginbide berezirik alboratu behar izan aplikazioan jartzeko.

Lehen telefono mugikorra kostu-txarteleko datu oso garrantzitsuak eskaneatzeko eta bigarren telefono mugikorrera transferitzeko erabiltzen da, hirugarrenen banku-txartel batetik onartu gabeko funtsak lortzeko.. Ondoren, hurrengo telefono mugikorra erabiltzen da ordainagirian kantitatea zorduntzeko, txartel-hartzaileen barietate berdina egiten dute azkenaldian. Eskatzaileak eroslea banku-txartelaren pertsona onartua dela adierazten baitu, saltzaileak ez du hautematen transakzioa iruzurrezkoa denik. Arazo nagusia da aplikazioak kartoiaren segurtasun sistema gainditzen duela. Batura muga gainditu eta PIN baieztapena behar duen arren, ez da koderik eskatzen.

Beren banku-txartelak salmenta-faktore ezberdinetan erabiltzea, ikertzaileak gai izan dira iruzurrezko eskemak funtzionatzen duela.

dio Torok, "Lapurketak hainbat herrialdetan hainbat monetatan jaulkitako zordunketa- eta banku-txartelekin funtzionatzen du".

Zientzialariek dagoeneko ohartarazi diote Visa ahultasunaz, denbora berdinean aukeratutako erantzuna proposatuz.

Tourra azaltzen du, «Protokoloan hiru moldaketa egin behar dira, zeina gero kuota-terminaletan sartu daiteke ondorengo software-programa ordezkatuz. Oso ondo exekutatu daiteke ahalegin minimoarekin. Ez dago jokoan kartak trukatu nahirik, eta doikuntza guztiak EMV arruntera egokitzen dira».

Aldizkariaren Erreferentzia:

1. Basin et al. EMV ohitura: Atsedenaldia, Konponketa, Berretsi. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249