Fornitore della fabbrica di rubinetti iVIGA
Gli scienziati hanno riscontrato una falla nel sistema di sicurezza di alcune carte bancarie
Le carte bancarie contactless sono un'opzione pratica e veloce per pagare gli acquisti regolari. È essenziale toccare la tua carta su un dispositivo POS per effettuare una commissione contactless.
Piccole quantità possono essere caricate rapidamente e semplicemente sulla cassa, e le carte da gioco sono ritenute sicure perché è necessario un codice di sicurezza per addebitare somme ingenti.
La maggior parte di queste transazioni si basano principalmente sul luogo comune dell’EMV, che si applica a over 9 miliardi di carte da gioco in tutto il mondo. Anche se da allora è stato rivisto più volte, l'algoritmo avanzato presenta una serie di vulnerabilità che possono essere sfruttate.
Con diverse autorità di sicurezza che già scoprono errori nel solito, scienziati a Politecnico federale di Zurigo ora ne hanno introdotto un ulteriore, grave lacuna di sicurezza.
Come passo preliminare, Il professore di sicurezza dei dati David Basin ha collaborato con Ralf Sasse, un ricercatore senior presso la Divisione di Laptop Science, e Jorge Toro Pozo, un postdoc al raduno di Basin, per progettare un manichino appositamente costruito in modo da poter esaminare le parti centrali del luogo comune EMV. Hanno scoperto un buco vitale in un protocollo utilizzato dalla società di carte bancarie Visa.
Questa vulnerabilità consente ai truffatori di acquisire fondi da carte da gioco smarrite o rubate, sebbene si presume che le quantità vengano convalidate inserendo un codice PIN.
Questa vulnerabilità consente ai truffatori di accumulare effetti personali provenienti da carte da gioco smarrite o rubate, indipendentemente dal fatto che le quantità debbano essere accreditate inserendo un codice PIN. Il Toro lo colloca principalmente: “A tutte le aspettative e funzioni, il codice PIN è inefficace proprio qui."
Diverse corporazioni, simile a Mastercard, Specifico americano, e JCB, non utilizzare lo stesso protocollo Visa, quindi queste carte da gioco non saranno influenzate dalla scappatoia di sicurezza. Ciò nonostante, il difetto potrebbe riguardare le carte da gioco emesse da Uncover e UnionPay, che utilizzano un protocollo molto simile a quello di Visa.
Gli analisti hanno avuto la possibilità di dimostrare che è possibile sfruttare la vulnerabilità di seguito, indipendentemente dal fatto che sia un ciclo davvero imprevedibile. Inizialmente hanno creato un software Android e lo hanno installato su due telefoni cellulari abilitati NFC. Ciò ha permesso il 2 unità per esaminare i dati da carta di credito chip e informazioni commerciali con terminali a pagamento. Inaspettatamente, gli analisti non hanno dovuto eludere alcuna caratteristica di sicurezza particolare nel sistema operativo Android per installare l'app.
Il primo telefono cellulare viene utilizzato per scansionare i dati più importanti dalla carta di costo e trasferirli al secondo cellulare per ottenere fondi non approvati da una carta bancaria di terzi. Il cellulare successivo viene quindi utilizzato per addebitare l'importo alla cassa, l'identica varietà di titolari di carta lo fa negli ultimi tempi. Poiché la richiesta dichiara che l'acquirente è la persona approvata dalla carta bancaria, il venditore non percepisce che la transazione è fraudolenta. Il problema cruciale è che l’app riesce a superare in astuzia il sistema di sicurezza del cartone. Sebbene la somma superi il limite e richieda la conferma del PIN, non è richiesto alcun codice.
Utilizzando le loro carte bancarie in vari fattori di vendita, i ricercatori sono stati in grado di dimostrare che il sistema di frode funziona.
dice il Toro, "La truffa funziona con carte di debito e bancarie emesse in diverse nazioni in diverse valute."
Gli scienziati hanno già allertato Visa della vulnerabilità, allo stesso tempo proponendo una risposta selezionata.
Tour spiega, “Occorre apportare tre modifiche al protocollo, che potrebbe poi essere inserito nei terminali a pagamento con la successiva sostituzione del software. Potrebbe benissimo essere eseguito con il minimo sforzo. Non esiste il desiderio di scambiare le carte da gioco, e tutti gli aggiustamenti si adeguano al luogo comune dell’EMV.”
Riferimento al diario:
- Bacino et al. Il consueto EMV: Rottura, Riparazione, Confermare. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
