Wëssenschaftler hunn e Feeler am Sécherheetssystem vun e puer Kreditkaarten entdeckt

Déi kontaktlos Bankkaarte sinn eng séier a praktesch Optioun fir regelméisseg Akeef ze bezuelen. Et ass wesentlech fir Är Kaart op enger POS Maschinn ze setzen fir eng kontaktlos Frais ze maachen.

Kleng Quantitéite kënne séier an einfach op der bis, an d'Spiller Kaarte sinn geduecht vun sécher als Resultat vun engem Sécherheet Code néideg Ris Zomme ze Débit.

Déi meescht vun dësen Transaktioune baséieren haaptsächlech op der EMV allgemeng, déi gëllt fir iwwer 9 Milliarde Spillkaarte weltwäit. Och wann et zënter e puer Mol iwwerschafft gouf, den fortgeschrattene Algorithmus huet eng Rei vu Schwachstelle, déi ausgenotzt kënne ginn.

Mat verschiddene Sécherheet Autoritéiten scho Feeler am üblechen Entdeckung, Wëssenschaftler an ETH Zürich hunn elo eng weider agefouert, schwéier Sécherheet Schlëff.

Als virleefeg Schrëtt, Professer fir Datesécherheet David Basin huet mam Ralf Sasse zesummegeschafft, e Senior Fuerscher an der Divisioun Laptop Science, an Jorge Toro Pozo, engem Postdoc am Basin senger Versammlung, fir en Zweck gebaute Mannequin ze designen sou datt se déi zentral Deeler vun der EMV allgemeng ënnersichen. Si hunn e wichtegt Lach an engem Protokoll entdeckt, dee vun der Bankkaartfirma Visa benotzt gouf.

Dës Schwachstelle erlaabt Betrüger Fongen aus Spillkaarten ze kréien, déi falsch placéiert oder geklaut goufen, obwuel d'Quantitéite behaapt gi validéiert andeems se an e PIN-Code kommen.

Dës Schwachstelle erméiglecht Bedrüger fir Saachen aus Spillkaarten ze sammelen déi falsch placéiert oder geklaut goufen, onofhängeg datt d'Quantitéite musse akkreditéiert ginn andeems Dir an e PIN Code gitt. Toro placéiert et haaptsächlech: "Zu all Erwaardungen a Funktiounen, de PIN Code ass net effektiv hei.

Verschidde Firmen, ähnlech zu Mastercard, American Spezifesch, an JCB, benotzen net déi identesch Visa Protokoll, sou dës Spillkaarte wäert net vun der Sécherheet loophole betraff ginn. Trotzdem, de Feeler kann op d'Spillkaarte gëllen, déi vun Uncover an UnionPay erausginn, déi e Protokoll benotzen wéi de Visa.

Analysten haten d'Wiel ze weisen datt et denkbar ass vun der Schwachstelle an der Verfollegung ze profitéieren, onofhängeg datt et e wierklech onberechenbaren Zyklus ass. Si hunn am Ufank eng Android Software konstruéiert an et op zwee NFC-aktivéiert Handyen gesat. Dëst erlaabt de 2 Unitéiten fir Daten aus der Kreditkaart Chip a Commerce Informatioun mat Gebührsterminalen. Onerwaart, d'Analysten hu keng speziell Sécherheetsfeatures am Android-Aarbechtskader ze sidestep fir an d'App ze setzen.

Den éischten Handy gëtt benotzt fir déi ganz wichteg Donnéeën vun der Käschtekaart ze scannen an se op den zweeten Handy ze transferéieren fir net approuvéiert Fongen vun enger Drëtt Partei Bankkaart ze kréien. De folgenden Handy gëtt dann benotzt fir d'Quantitéit op der Kasse ze debitéieren, déi identesch Villfalt vu Cardholders maachen wéi spéit. Wéi d'Uwendung deklaréiert datt de Shopper déi guttgeheescht Persoun vun der Bankkaart ass, de Verkeefer gesäit net datt d'Transaktioun betrügeresch ass. De pivotal Thema ass datt d'App d'Sécherheetssystem vum Kartong outmanövréiert. Och wann d'Zomm iwwer d'Restriktioun ass a verlaangt PIN Bestätegung, kee Code gëtt gefrot.

Benotzt hir Bankkaarte bei verschiddene Verkafsfaktoren, d'Fuerscher ware kapabel ze presentéieren datt de Bedruchschema funktionnéiert.

Toro seet, "D'Rip-Off funktionnéiert mat Bank- a Bankkaarten, déi a verschiddene Natiounen a verschiddene Währungen erausginn."

Wëssenschaftler hu Visa schonn op d'Schwachheet alarméiert, op der identescher Zäit proposéiert eng ausgewielt Äntwert.

Tour erkläert, "Dräi Upassunge musse mam Protokoll gemaach ginn, déi dann an de Gebührsterminaler mat dem spéideren Softwareprogramm ersat kënne ginn. Et kann ganz gutt mat minimalem Effort ausgefouert ginn. Et gëtt keng sou eppes wéi e wëllt d'Spillkaarten austauschen, an all Upassunge passen un d'EMV-Allgemengheet un.

Journal Referenz:

1. Bassin et al. D'EMV Gewunnecht: Paus, Reparatur, Confirméieren. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249