Os científicos descubriron un fallo no sistema de seguridade dalgunhas tarxetas de crédito

As tarxetas bancarias sen contacto son unha opción rápida e práctica para pagar compras regulares. É esencial tocar a túa tarxeta nun TPV para facer unha tarifa sen contacto.

Pódense cargar pequenas cantidades de forma rápida e sinxela no ata, e as cartas son pensadas como seguras como resultado dun código de seguridade é necesario para cobrar cantidades xigantes.

A maioría destas transaccións baséanse principalmente no lugar común EMV, que se aplica a máis 9 millóns de cartas en todo o mundo. Aínda que desde entón foi revisado en varias ocasións, o algoritmo avanzado ten unha serie de vulnerabilidades que poden ser explotadas.

Con diferentes autoridades de seguridade xa descubrindo erros no habitual, científicos en ETH Zurich agora introduciron outro, grave fenda de seguridade.

Como paso previo, O profesor de Seguridade de Datos David Basin colaborou con Ralf Sasse, un investigador senior dentro da División de Ciencia de Laptop, e Jorge Toro Pozo, un posdoctorado na reunión de Basin, para deseñar un maniquí especialmente construído para que poidan examinar as partes centrais do lugar común de EMV. Descubriron un buraco vital nun protocolo utilizado pola empresa de tarxetas bancarias Visa.

Esta vulnerabilidade permite que os defraudadores adquiran fondos de cartas que foron extraviadas ou roubadas, aínda que presuntamente se validan as cantidades introducindo un código PIN.

Esta vulnerabilidade permite aos defraudadores acumular pertenzas de cartas que foron extraviadas ou roubadas., independentemente de que as cantidades teñan que ser acreditadas introducindo un código PIN. Touro sitúao principalmente: “A todas as expectativas e funcións, o código PIN é ineficaz aquí".

Diferentes corporacións, similar a Mastercard, Específico americano, e JCB, non use o protocolo Visa idéntico, polo que estes naipes non se verán afectados pola brecha de seguridade. Con todo, a falla pode aplicarse ás cartas emitidas por Uncover e UnionPay, que utilizan un protocolo moi parecido ao de Visa.

Os analistas tiveron a opción de demostrar que é concebible aproveitar a vulnerabilidade que segue, independentemente de que sexa un ciclo realmente imprevisible. Inicialmente crearon un software para Android e puxérono en dous teléfonos móbiles habilitados para NFC. Isto permitiu o 2 unidades para examinar os datos do tarxeta de crédito información de chip e comercio con terminais de tarifa. Inesperadamente, os analistas non tiveron que eludir ningunha función de seguridade particular dentro do marco de traballo de Android para poñer na aplicación.

O primeiro teléfono móbil utilízase para escanear os datos moi importantes da tarxeta de custo e transferilos ao segundo teléfono móbil para obter fondos non aprobados dunha tarxeta bancaria de terceiros.. O seguinte teléfono móbil úsase entón para cargar a cantidade na caixa, a idéntica variedade de titulares de tarxetas fai na actualidade. Como o solicitante declara que o comprador é a persoa autorizada da tarxeta bancaria, o vendedor non percibe que a transacción é fraudulenta. O problema fundamental é que a aplicación supera o sistema de seguridade do cartón. Aínda que a suma supera a restrición e require a confirmación do PIN, non se solicita ningún código.

Utilizando as súas tarxetas bancarias en diversos factores de venda, os investigadores foran capaces de presentar que o esquema de fraude funciona.

di Touro, "A estafa funciona con tarxetas de débito e bancarias emitidas en varias nacións en moedas variadas".

Os científicos xa alertaron a Visa da vulnerabilidade, no mesmo tempo propoñendo unha resposta seleccionada.

Percorrido explica, "Hai que facer tres axustes no protocolo, que entón poderían ser introducidos dentro dos terminais de tarifa co programa de software posterior substituír. Pode moi ben executarse cun mínimo esforzo. Non existe o querer intercambiar as cartas, e todos os axustes axústanse ao lugar común de EMV".

Referencia da revista:

1. Basin et al. O costume EMV: Descanso, Reparación, Confirmar. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249