A tudósok hibát fedeztek fel néhány hitelkártya biztonsági rendszerében

Az érintésmentes bankkártya gyors és praktikus lehetőség a rendszeres vásárlások kifizetésére. Az érintésmentes díj fizetéséhez elengedhetetlen, hogy a kártyáját egy POS-gépbe csapja.

Kis mennyiségek gyorsan és egyszerűen tölthetők a töltésig, és a játékkártyákat biztonságosnak gondolják, mivel óriási összegek megterheléséhez biztonsági kódra van szükség.

A legtöbb ilyen tranzakció elsősorban az EMV közhelyen alapul, ami többre vonatkozik 9 milliárd játékkártya világszerte. Bár azóta többször módosították, a fejlett algoritmusnak számos sebezhetősége van, amelyeket kihasználhatnak.

A különböző biztonsági hatóságok már a szokásos hibákat fedezik fel, tudósok at ETH Zürich most újabbat vezettek be, súlyos biztonsági kiskapu.

Előzetes lépésként, David Basin adatbiztonsági professzor együttműködött Ralf Sasse-szel, vezető kutató a laptoptudományi részlegen, és Jorge Toro Pozo, posztdoktori Basin összejövetelében, egy erre a célra épített próbababát tervezni, hogy megvizsgálhassák az EMV közhelyének központi részeit. Létfontosságú lyukat fedeztek fel a Visa bankkártya-cég által használt protokollban.

Ez a sérülékenység lehetővé teszi a csalók számára, hogy pénzt szerezzenek olyan játékkártyákból, amelyeket eltévedtek vagy elloptak, bár a mennyiségeket állítólag PIN-kódba való bejutással ellenőrizték.

Ez a sebezhetőség lehetővé teszi a csalók számára, hogy holmi holmikat halmozzanak fel az eltévedt vagy ellopott játékkártyákból., függetlenül attól, hogy a mennyiségeket PIN kód megadásával akkreditálni kell. Toro helyezi el elsősorban: „Minden elvárásnak és funkciónak megfelelően, a PIN kód itt hatástalan."

Különböző társaságok, hasonló a Mastercardhoz, Amerikai specifikus, és JCB, ne használja az azonos Visa protokollt, így ezeket a játékkártyákat nem érinti a biztonsági kiskapu. Mindazonáltal, a hiba az Uncover és a UnionPay által kibocsátott játékkártyákra vonatkozhat, amelyek a Visa-hoz hasonló protokollt használnak.

Az elemzőknek lehetőségük volt kimutatni, hogy elképzelhető a következő sérülékenység kihasználása., függetlenül attól, hogy ez egy valóban kiszámíthatatlan ciklus. Kezdetben létrehoztak egy Android szoftvert, és két NFC-képes mobiltelefonba helyezték. Ez lehetővé tette a 2 egységekből származó adatok áttanulmányozására hitelkártya chip- és kereskedelmi információk díjterminálokkal. Váratlanul, az elemzőknek nem kellett megkerülniük az Android működési keretrendszerén belül egyetlen biztonsági funkciót sem, hogy beépítsék az alkalmazást.

Az első mobiltelefont arra használják, hogy beolvassák a nagyon fontos adatokat a költségkártyáról, és átvigyék a második mobiltelefonra, hogy jóváhagyatlan összegeket kapjanak egy harmadik fél bankkártyájáról.. Ezután a következő mobiltelefont használjuk a pénztárnál a mennyiség megterhelésére, a kártyabirtokosok változatossága az utóbbi időben. Mivel az igénylő kijelenti, hogy a vásárló a bankkártya jóváhagyott személye, az eladó nem érzékeli, hogy a tranzakció csalárd. A sarkalatos probléma az, hogy az alkalmazás felülmúlja a karton biztonsági rendszerét. Bár az összeg meghaladja a korlátozást, és PIN megerősítést igényel, nem kér kódot.

Bankkártyáik felhasználása változatos értékesítési feltételek mellett, a kutatók be tudták mutatni, hogy a csalási rendszer működik.

– mondja Toro, "A letörés a több országban, különböző pénznemekben kibocsátott betéti és bankkártyákkal működik."

A tudósok már figyelmeztették a Visát a sebezhetőségre, azonos időpontban egy kiválasztott választ javasolva.

Kirándulás magyarázza, „Három módosítást kell végrehajtani a protokollon, amelyeket aztán be lehet helyezni a díjterminálokba a későbbi szoftverprogram cseréjével. Nagyon jól kivitelezhető minimális erőfeszítéssel. Nincs olyan, hogy fel kell cserélni a játékkártyákat, és minden beállítás az EMV közhelyéhez igazodik.”

Folyóirat hivatkozás:

1. Basin et al. Az EMV szokás: Szünet, Javítás, Erősítse meg. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249