អ្នកវិទ្យាសាស្ត្របានរកឃើញកំហុសមួយនៅក្នុងប្រព័ន្ធសុវត្ថិភាពនៃកាតឥណទានមួយចំនួន

កាតធនាគារដែលគ្មានទំនាក់ទំនងគឺជាជម្រើសរហ័ស និងងាយស្រួលក្នុងការទូទាត់សម្រាប់ការទិញជាប្រចាំ. វាចាំបាច់ណាស់ក្នុងការបញ្ចូលកាតរបស់អ្នកនៅលើម៉ាស៊ីន POS ដើម្បីធ្វើថ្លៃសេវាដោយមិនប៉ះ.

បរិមាណតិចតួចអាចត្រូវបានគិតថ្លៃយ៉ាងឆាប់រហ័សនិងជាធម្មតានៅលើរហូតដល់, ហើយសន្លឹកបៀត្រូវបានគេគិតថាមានសុវត្ថិភាព ដោយសារតែលេខកូដសុវត្ថិភាពត្រូវបានទាមទារដើម្បីដកប្រាក់ចំនួនធំ.

ប្រតិបត្តិការទាំងនោះភាគច្រើនគឺផ្អែកលើ EMV ទូទៅ, ដែលអនុវត្តចំពោះជាង 9 រាប់លានសន្លឹកលេងទូទាំងពិភពលោក. ទោះបីជាវាត្រូវបានកែសម្រួលជាច្រើនដងចាប់តាំងពីពេលនោះមក, ក្បួនដោះស្រាយកម្រិតខ្ពស់មានភាពងាយរងគ្រោះមួយចំនួនដែលអាចត្រូវបានគេកេងប្រវ័ញ្ច.

ជាមួយនឹងអាជ្ញាធរសុវត្ថិភាពផ្សេងៗគ្នាបានរកឃើញកំហុសជាធម្មតារួចហើយ, អ្នកវិទ្យាសាស្ត្រនៅ ETH Zurich ឥឡូវនេះបានណែនាំបន្ថែមទៀត, គម្លាតសុវត្ថិភាពធ្ងន់ធ្ងរ.

ជាជំហានបឋម, សាស្រ្តាចារ្យផ្នែកសុវត្ថិភាពទិន្នន័យ David Basin សហការជាមួយ Ralf Sasse, អ្នកស្រាវជ្រាវជាន់ខ្ពស់នៅក្នុងផ្នែកវិទ្យាសាស្ត្រកុំព្យូទ័រ, និង Jorge Toro Pozo, postdoc នៅក្នុងការប្រមូលផ្តុំរបស់ Basin, ដើម្បី​រចនា​ម៉ូដ​មនុស្ស​ដែល​បង្កើត​ឡើង​ក្នុង​គោលបំណង ដូច្នេះ​ពួកគេ​អាច​ពិនិត្យ​មើល​ផ្នែក​កណ្តាល​នៃ EMV ធម្មតា។. ពួកគេបានរកឃើញរន្ធដ៏សំខាន់មួយនៅក្នុងពិធីការដែលប្រើប្រាស់ដោយក្រុមហ៊ុនកាតធនាគារ Visa.

ភាពងាយរងគ្រោះនេះអនុញ្ញាតឱ្យអ្នកក្លែងបន្លំទទួលបានមូលនិធិពីការលេងបៀដែលត្រូវបានដាក់ខុស ឬត្រូវបានគេលួច, ទោះបីជាបរិមាណត្រូវបានចោទប្រកាន់ថាមានសុពលភាពដោយការចូលទៅក្នុងកូដ PIN ក៏ដោយ។.

ភាពងាយរងគ្រោះនេះផ្តល់សិទ្ធិអំណាចដល់អ្នកក្លែងបន្លំក្នុងការប្រមូលរបស់របរពីការលេងបៀដែលត្រូវបានដាក់ខុស ឬត្រូវបានគេលួច, ដោយមិនគិតពីបរិមាណចាំបាច់ត្រូវទទួលស្គាល់ដោយការចូលទៅក្នុងកូដ PIN ឡើយ។. Toro ដាក់វាជាចម្បង: “ចំពោះការរំពឹងទុក និងមុខងារទាំងអស់។, កូដ PIN គឺគ្មានប្រសិទ្ធភាពនៅទីនេះ។"

សាជីវកម្មផ្សេងៗគ្នា, ស្រដៀងទៅនឹង Mastercard, អាមេរិកជាក់លាក់, និង JCB, កុំប្រើពិធីការ Visa ដូចគ្នា។, ដូច្នេះសន្លឹកបៀទាំងនេះនឹងមិនត្រូវបានប៉ះពាល់ដោយចន្លោះប្រហោងសុវត្ថិភាពទេ។. តាមចារ្យ, កំហុសអាចអនុវត្តចំពោះសន្លឹកបៀដែលចេញដោយ Uncover និង UnionPay, ដែលប្រើពិធីការដូចជា Visa's.

អ្នក​វិភាគ​មាន​ជម្រើស​ក្នុង​ការ​បង្ហាញ​ថា វា​អាច​យល់​បាន​ក្នុង​ការ​ទាញ​យក​អត្ថប្រយោជន៍​ពី​ភាព​ងាយ​រងគ្រោះ​តាម, ដោយមិនគិតថាវាជាវដ្តដែលមិនអាចទាយទុកជាមុនបាន។. ដំបូងឡើយ ពួកគេបានបង្កើតកម្មវិធី Android ហើយដាក់បញ្ចូលទៅក្នុងទូរសព្ទដៃដែលប្រើ NFC ចំនួនពីរ. នេះបានអនុញ្ញាតឱ្យ 2 ឯកតាដើម្បីប្រើប្រាស់ទិន្នន័យពី កាតឥណទាន បន្ទះឈីប និងព័ត៌មានពាណិជ្ជកម្មជាមួយស្ថានីយថ្លៃសេវា. ដោយមិននឹកស្មានដល់, អ្នកវិភាគមិនចាំបាច់ងាកចេញពីមុខងារសុវត្ថិភាពពិសេសណាមួយនៅក្នុងក្របខ័ណ្ឌការងាររបស់ Android ដើម្បីដាក់ក្នុងកម្មវិធីនោះទេ។.

ទូរសព្ទ​ដៃ​ទីមួយ​ត្រូវ​បាន​ប្រើ​ដើម្បី​ស្កែន​ទិន្នន័យ​សំខាន់ៗ​ពី​កាត​ចំណាយ​ ហើយ​ផ្ទេរ​វា​ទៅ​ទូរសព្ទ​ទីពីរ​ដើម្បី​ទទួល​បាន​មូលនិធិ​ដែល​មិន​បាន​អនុម័ត​ពី​កាត​ធនាគារ​ភាគី​ទីបី។. បន្ទាប់មក ទូរស័ព្ទដៃខាងក្រោមត្រូវបានប្រើដើម្បីដកប្រាក់លើបរិមាណនៅពេលចេញ, ប្រភេទដូចគ្នានៃម្ចាស់ប័ណ្ណធ្វើរហូតដល់ចុង. ដូចដែលអ្នកដាក់ពាក្យសុំប្រកាសថាអ្នកទិញទំនិញគឺជាអ្នកដែលបានយល់ព្រមពីកាតធនាគារ, អ្នក​លក់​មិន​យល់​ថា​ប្រតិបត្តិការ​នេះ​គឺ​ជា​ការ​ក្លែង​បន្លំ​ទេ។. បញ្ហាសំខាន់គឺថា កម្មវិធីនេះ គ្រប់គ្រងប្រព័ន្ធសុវត្ថិភាពរបស់ក្រដាសកាតុងធ្វើកេស. ទោះបីជាចំនួនសរុបលើសពីកម្រិតកំណត់ និងទាមទារការបញ្ជាក់កូដ PIN ក៏ដោយ។, គ្មានលេខកូដត្រូវបានស្នើសុំទេ។.

ការប្រើប្រាស់កាតធនាគាររបស់ពួកគេនៅកត្តាផ្សេងៗនៃការលក់, អ្នកស្រាវជ្រាវមានសមត្ថភាពបង្ហាញថា គ្រោងការណ៍ក្លែងបន្លំដំណើរការ.

Toro និយាយ, "ការដកប្រាក់ដំណើរការជាមួយប័ណ្ណឥណពន្ធ និងកាតធនាគារដែលចេញនៅក្នុងប្រទេសជាច្រើនក្នុងរូបិយប័ណ្ណផ្សេងៗគ្នា។"

អ្នកវិទ្យាសាស្ត្របានជូនដំណឹង Visa រួចហើយអំពីភាពងាយរងគ្រោះ, នៅលើពេលវេលាដូចគ្នាដែលស្នើចម្លើយដែលបានជ្រើសរើស.

ដំណើរកំសាន្ត ពន្យល់, “ការកែតម្រូវចំនួនបីត្រូវធ្វើចំពោះពិធីសារ, ដែលបន្ទាប់មកអាចត្រូវបានដាក់នៅក្នុងស្ថានីយថ្លៃជាមួយនឹងកម្មវិធីបន្ទាប់បន្សំជំនួស. វាអាចត្រូវបានអនុវត្តយ៉ាងល្អជាមួយនឹងការខិតខំប្រឹងប្រែងតិចតួចបំផុត។. មិនមានរឿងបែបនេះទេដែលចង់ផ្លាស់ប្តូរសន្លឹកបៀ, ហើយ​រាល់​ការ​កែ​តម្រូវ​ទៅ​នឹង EMV ធម្មតា»។

ឯកសារយោងទិនានុប្បវត្តិ:

1. អាង et al. ទំនៀមទម្លាប់ EMV: សម្រាក, ជួសជុល, បញ្ជាក់. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249