מדענים גילו פגם במערכת האבטחה של כמה כרטיסי אשראי

כרטיסי הבנק ללא מגע הם אפשרות מהירה ונוחה לתשלום על רכישות על בסיס קבוע. זה חיוני לברז את הכרטיס שלך במכונת קופה כדי לשלם עמלה ללא מגע.

ניתן לגבות כמויות קטנות במהירות ובפשטות על עד, וקלפי המשחק נחשבים בטוחים כתוצאה מכך שקוד בטיחות נדרש לחיוב סכומי ענק.

רוב העסקאות הללו מבוססות בעיקר על ה-EMV המקובל, אשר חל על מעל 9 מיליארד קלפי משחק ברחבי העולם. למרות שהוא תוקן מספר הזדמנויות מאז, לאלגוריתם המתקדם יש מספר נקודות תורפה שעלולות להיות מנוצלות.

עם רשויות בטיחות שונות כבר מגלות שגיאות ברגיל, מדענים ב ETH ציריך הציגו כעת עוד, פרצת בטיחות חמורה.

כצעד מקדים, פרופסור לבטיחות נתונים דיוויד אגן שיתף פעולה עם ראלף סאסה, חוקר בכיר בחטיבה למדעי המחשב הניידים, וחורחה טורו פוזו, פוסט דוקטורט בהתכנסות של אגן, לעצב בובת תצוגה תכליתית כדי שיוכלו לבחון את החלקים המרכזיים של ה-EMV שבשגרה. הם גילו חור חיוני בפרוטוקול שנוצל על ידי חברת כרטיסי הבנק ויזה.

פגיעות זו מאפשרת לרמאים לרכוש כספים מכרטיסי משחק שהוטעו או נגנבו, למרות שהכמויות לכאורה מאומתות על ידי כניסה לקוד PIN.

פגיעות זו מאפשרת לרמאים לצבור חפצים מקלפי משחק שהוטעו או נגנבו, ללא קשר לכך שהכמויות צריכות להיות מאושרות על ידי כניסה לקוד PIN. טורו ממקם את זה בעיקר: "לכל הציפיות והפונקציות, קוד ה-PIN אינו יעיל כאן."

תאגידים שונים, דומה למאסטרקארד, אמריקאי ספציפי, ו-JCB, אל תשתמש בפרוטוקול ויזה זהה, אז קלפי המשחק האלה לא יושפעו מפרצת הבטיחות. בְּכָל זֹאת, הפגם עשוי לחול על כרטיסי המשחק שהונפקו על ידי Uncover ו-UnionPay, שמשתמשים בפרוטוקול בדומה לזה של ויזה.

לאנליסטים הייתה הבחירה להראות שניתן להעלות על הדעת לנצל את הפגיעות במעקב, בלי קשר לזה שזה באמת מחזור בלתי צפוי. בתחילה הם הקימו תוכנת אנדרואיד והכניסו אותה לשני טלפונים סלולריים התומכים ב-NFC. זה איפשר את 2 יחידות לעיון בנתונים מה- כרטיס אשראי מידע על שבבים ומסחר עם מסופי עמלות. באופן בלתי צפוי, האנליסטים לא היו צריכים לעקוף שום תכונות בטיחות מסוימות במסגרת העבודה של אנדרואיד כדי להכניס את האפליקציה.

הטלפון הסלולרי הראשון משמש לסריקת הנתונים החשובים מאוד מכרטיס העלות והעברתם לטלפון הסלולרי השני כדי לקבל כספים לא מאושרים מכרטיס בנק של צד שלישי. לאחר מכן נעשה שימוש בטלפון הסלולרי הבא כדי לחייב את הכמות בקופה, המגוון הזהה של מחזיקי הכרטיסים עושים עד מאוחר. כפי שהמגיש בקשה מצהיר כי הקונה הוא האדם המאושר של כרטיס הבנק, המוכר אינו מבין שהעסקה היא הונאה. הבעיה המרכזית היא שהאפליקציה מתמרנת את מערכת הבטיחות של הקרטון. למרות שהסכום חורג מהמגבלה ודורש אישור PIN, לא מתבקש קוד.

שימוש בכרטיסי הבנק שלהם בגורמי מכירה מגוונים, החוקרים הצליחו להציג שתוכנית ההונאה עובדת.

אומר טורו, "ההפרעה עובדת עם כרטיסי חיוב וכרטיסי בנק שהונפקו במספר מדינות במטבעות שונים".

מדענים כבר התריעו בפני ויזה על הפגיעות, במועד זהה להציע תשובה נבחרת.

סִיוּר מסביר, "צריך לבצע שלוש התאמות לפרוטוקול, אשר לאחר מכן עשוי להיות מוכנס בתוך מסופי התשלום עם החלפת התוכנה שלאחר מכן. ייתכן מאוד שזה יתבצע במינימום מאמץ. אין דבר כזה לרצות להחליף את קלפי המשחק, וכל ההתאמות מתאימות ל-EMV המקובל".

עיון ביומן:

1. Basin et al. ה-EMV המקובל: לִשְׁבּוֹר, לְתַקֵן, לְאַשֵׁר. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249