Fuair ​​​​eolaithe amach locht sa chóras slándála ar roinnt cártaí creidmheasa

Is rogha thapa agus áisiúil iad na cártaí bainc gan tadhall le híoc as ceannacháin rialta. Tá sé fíor-riachtanach faucet do chárta ar mheaisín POS chun táille gan tadhall a dhéanamh.

Is féidir cainníochtaí beaga a mhuirearú go tapa agus go simplí ar an go dtí, agus meastar go bhfuil na cártaí imeartha slán mar go bhfuil gá le cód sábháilteachta chun suimeanna ollmhóra a chur chun dochair.

Tá an chuid is mó de na hidirbhearta sin bunaithe go príomha ar an gcomhshamhail EMV, a bhaineann le breis 9 billiún cártaí imeartha ar fud an domhain. Cé go ndearnadh athbhreithniú air roinnt uaireanta ó shin, tá roinnt leochaileachtaí ag an ard-algartam ar féidir leas a bhaint astu.

Le húdaráis sábháilteachta éagsúla ag fáil amach cheana féin earráidí sa ghnáth, eolaithe ag ETH Zurich tugtha isteach anois, Bealach éalaithe sábháilteachta dian.

Mar réamhchéim, Chomhoibrigh an tOllamh le Sábháilteacht Sonraí David Basin le Ralf Sasse, taighdeoir sinsearach laistigh den Rannóg Eolaíochta Glúine, agus Jorge Toro Pozo, postdoc i gcruinniú Basin, mannequin saintógtha a dhearadh ionas go bhféadfaidís na codanna lárnacha den chomhionad EMV a scrúdú. D’aimsigh siad poll ríthábhachtach i bprótacal a d’úsáid an gnólacht cártaí bainc Visa.

Ligeann an leochaileacht seo do chaimiléirí cistí a fháil ó chártaí imeartha a cuireadh amú nó a goideadh, cé go líomhnaítear go ndéantar na cainníochtaí a bhailíochtú trí chód PIN a chur isteach.

Tugann an leochaileacht seo cumhacht do chaimiléirí giuirléidí a charnadh ó chártaí imeartha a cuireadh amú nó a goideadh, is cuma gur gá na cainníochtaí a chreidiúnú trí chód PIN a fháil. Cuireann Toro go príomha é: “Chun gach ionchas agus feidhm, tá an cód PIN neamhéifeachtúil anseo.”

Corparáidí éagsúla, cosúil le Mastercard, Sonrach Meiriceánach, agus JCB, ná húsáid an prótacal Víosa comhionann, mar sin ní bheidh tionchar ag an mbealach éalaithe sábháilteachta ar na cártaí imeartha seo. Mar sin féin, féadfaidh an locht a bheith i bhfeidhm ar na cártaí imeartha arna n-eisiúint ag Uncover agus UnionPay, a úsáideann prótacal cosúil le Visa.

Bhí an rogha ag anailísithe a thaispeáint go bhféadfaí leas a bhaint as an leochaileacht a leanann, is cuma gur timthriall fíor-thuar é. Chruthaigh siad bogearraí Android ar dtús agus chuir siad isteach é ar dhá theileafón póca NFC-chumasaithe. Cheadaigh sé seo an 2 aonaid chun sonraí ó na cárta creidmheasa faisnéis sliseanna agus tráchtáil le críochfoirt táillí. Gan choinne, ní raibh ar na hanailísithe aon ghnéithe sábháilteachta ar leith a chur i leataobh laistigh de chreat oibre Android chun an aip a chur isteach.

Úsáidtear an chéad ghuthán póca chun na sonraí fíorthábhachtacha ón gcárta costais a scanadh agus é a aistriú chuig an dara fón póca chun cistí neamhcheadaithe a fháil ó chárta bainc tríú páirtí. Úsáidtear an fón póca seo a leanas ansin chun an méid ar an tseiceáil amach a dhochar, is ionann éagsúlacht na sealbhóirí cártaí agus go déanach. De réir mar a dhearbhaíonn an t-iarratas gurb é an siopadóir duine ceadaithe an chárta bainc, ní bhraitheann an díoltóir go bhfuil an t-idirbheart calaoiseach. Is í an phríomhcheist ná go sáraíonn an aip córas sábháilteachta an chairtchláir. Cé go bhfuil an tsuim thar an srian agus éilíonn dearbhú PIN, ní iarrtar cód.

Úsáid a bhaint as a gcártaí bainc ag fachtóirí éagsúla díolacháin, bhí na taighdeoirí in ann a chur i láthair go n-oibríonn an scéim calaoise.

a deir Toro, “Oibrítear leis an sliocht le cártaí dochair agus bainc a eisítear i dtíortha éagsúla in airgeadraí éagsúla.”

Tá foláireamh tugtha ag eolaithe cheana féin do Visa maidir leis an leochaileacht, ar an am céanna ag moladh freagra roghnaithe.

Turas mhíníonn, “Ní mór trí choigeartú a dhéanamh ar an bprótacal, a d’fhéadfaí a chur isteach ansin laistigh de na teirminéil táillí agus an clár bogearraí a athchur ina dhiaidh sin. Is féidir go han-mhaith é a fhorghníomhú gan mórán iarrachta. Níl a leithéid de rud ann agus a bheith ag iarraidh na cártaí imeartha a mhalartú, agus coigeartaítear na coigeartuithe go léir go dtí an gnáthionad EMV.”

Tagairt Irise:

1. Basin et al. An EMV Gnáth: Briseadh, Deisiúchán, Deimhnigh. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249