ນັກວິທະຍາສາດຄົ້ນພົບຂໍ້ບົກພ່ອງໃນລະບົບຄວາມປອດໄພຂອງບັດເຄຣດິດບາງອັນ

ບັດທະນາຄານແບບ contactless ເປັນທາງເລືອກທີ່ໄວແລະສະດວກໃນການຈ່າຍເງິນສໍາລັບການຊື້ເປັນປະຈໍາ. ມັນເປັນສິ່ງຈໍາເປັນ faucet ບັດຂອງທ່ານໃນເຄື່ອງ POS ເພື່ອເຮັດຄ່າທໍານຽມ contactless.

ປະລິມານຂະຫນາດນ້ອຍອາດຈະຖືກຄິດຄ່າທໍານຽມຢ່າງໄວວາແລະພຽງແຕ່ຈົນກ່ວາ, ແລະບັດຫຼີ້ນຖືກຄິດວ່າປອດໄພເນື່ອງຈາກລະຫັດຄວາມປອດໄພແມ່ນຈໍາເປັນເພື່ອ debit sums ໃຫຍ່.

ການເຮັດທຸລະກໍາເຫຼົ່ານັ້ນສ່ວນໃຫຍ່ແມ່ນອີງໃສ່ EMV ທົ່ວໄປ, ເຊິ່ງໃຊ້ກັບຫຼາຍກວ່າ 9 ຫຼີ້ນບັດນັບຕື້ທົ່ວໂລກ. ​ເຖິງ​ແມ່ນ​ວ່າ​ມັນ​ໄດ້​ຮັບ​ການ​ປັບປຸງ​ບາງ​ຄັ້ງ​ນັບ​ແຕ່​ນັ້ນ​ມາ, ສູດການຄິດໄລ່ຂັ້ນສູງມີຈຸດອ່ອນຈຳນວນໜຶ່ງທີ່ອາດຈະຖືກຂູດຮີດ.

ກັບເຈົ້າຫນ້າທີ່ຄວາມປອດໄພທີ່ແຕກຕ່າງກັນແລ້ວຄົ້ນພົບຂໍ້ຜິດພາດຕາມປົກກະຕິ, ນັກວິທະຍາສາດຢູ່ ETH Zurich ໃນປັດຈຸບັນໄດ້ນໍາສະເຫນີຕື່ມອີກ, ຊ່ອງ​ຫວ່າງ​ຄວາມ​ປອດ​ໄພ​ຮ້າຍ​ແຮງ​.

ເປັນຂັ້ນຕອນເບື້ອງຕົ້ນ, ອາຈານຂອງຄວາມປອດໄພຂໍ້ມູນ David Basin ຮ່ວມມືກັບ Ralf Sasse, ນັກຄົ້ນຄວ້າອາວຸໂສພາຍໃນພະແນກວິທະຍາສາດຄອມພິວເຕີ, ແລະ Jorge Toro Pozo, postdoc ໃນ​ການ​ເຕົ້າ​ໂຮມ​ຂອງ Basin, ເພື່ອອອກແບບ mannequin ທີ່ມີຈຸດປະສົງເພື່ອໃຫ້ພວກເຂົາກວດເບິ່ງສ່ວນກາງຂອງ EMV ທົ່ວໄປ. ພວກເຂົາເຈົ້າໄດ້ຄົ້ນພົບຂຸມທີ່ສໍາຄັນໃນອະນຸສັນຍາທີ່ໃຊ້ໂດຍບໍລິສັດບັດທະນາຄານ Visa.

ຊ່ອງ​ໂຫວ່​ນີ້​ເຮັດ​ໃຫ້​ຜູ້​ສໍ້​ໂກງ​ສາມາດ​ຫາ​ເງິນ​ໄດ້​ຈາກ​ການ​ຫຼິ້ນ​ບັດ​ທີ່​ຖືກ​ວາງ​ຜິດ​ຫຼື​ຖືກ​ລັກ., ເຖິງແມ່ນວ່າປະລິມານທີ່ຖືກກ່າວຫາວ່າໄດ້ຮັບການກວດສອບໂດຍການເຂົ້າໄປໃນລະຫັດ PIN.

ຊ່ອງໂຫວ່ນີ້ເຮັດໃຫ້ຜູ້ສໍ້ໂກງສາມາດສະສົມສິ່ງຂອງຈາກການຫຼີ້ນບັດທີ່ວາງໄວ້ຜິດ ຫຼືຖືກລັກ., ໂດຍບໍ່ຄໍານຶງວ່າປະລິມານຈໍາເປັນຕ້ອງໄດ້ຮັບການຮັບຮອງໂດຍການເຂົ້າໄປໃນລະຫັດ PIN. Toro ວາງມັນໄວ້ຕົ້ນຕໍ: “ຕໍ່ຄວາມຄາດຫວັງ ແລະໜ້າທີ່ທັງໝົດ, ລະຫັດ PIN ແມ່ນບໍ່ມີປະສິດທິພາບຢູ່ທີ່ນີ້."

ບໍລິສັດທີ່ແຕກຕ່າງກັນ, ຄ້າຍຄືກັນກັບ Mastercard, ສະເພາະອາເມລິກາ, ແລະ JCB, ຢ່າໃຊ້ໂປຣໂຕຄໍ Visa ຄືກັນ, ດັ່ງນັ້ນບັດຫຼີ້ນເຫຼົ່ານີ້ຈະບໍ່ໄດ້ຮັບຜົນກະທົບຈາກຊ່ອງຫວ່າງດ້ານຄວາມປອດໄພ. ຢ່າງໃດກໍຕາມ, ຂໍ້ບົກຜ່ອງອາດຈະໃຊ້ກັບບັດຫຼີ້ນທີ່ອອກໃຫ້ໂດຍ Uncover ແລະ UnionPay, ເຊິ່ງໃຊ້ໂປໂຕຄອນຫຼາຍເຊັ່ນ Visa's.

ນັກວິ​ເຄາະ​ມີ​ທາງ​ເລືອກ​ທີ່​ຈະ​ສະ​ແດງ​ໃຫ້​ເຫັນ​ວ່າ​ມັນ​ເປັນ​ການ​ຄິດ​ໄດ້​ທີ່​ຈະ​ໃຊ້​ຄວາມ​ໄດ້​ປຽບ​ຈາກ​ຄວາມ​ສ່ຽງ​ທີ່​ຕິດ​ຕາມ​ມາ., ບໍ່ວ່າມັນເປັນວົງຈອນທີ່ບໍ່ສາມາດຄາດເດົາໄດ້ຢ່າງແທ້ຈິງ. ໃນເບື້ອງຕົ້ນພວກເຂົາກໍ່ສ້າງຊອບແວ Android ແລະໃສ່ໃນໂທລະສັບມືຖືທີ່ມີ NFC ສອງໜ່ວຍ. ນີ້ອະນຸຍາດໃຫ້ 2 ຫນ່ວຍງານເພື່ອ peruse ຂໍ້ມູນຈາກ ບັດ​ເຄຣ​ດິດ ຊິບແລະຂໍ້ມູນການຄ້າທີ່ມີຄ່າບໍລິການ. ໂດຍບໍ່ຄາດຄິດ, ນັກວິ​ເຄາະ​ບໍ່​ຈໍາ​ເປັນ​ຕ້ອງ​ໄປ​ຂ້າງ​ຫນ້າ​ຄຸນ​ນະ​ສົມ​ບັດ​ຄວາມ​ປອດ​ໄພ​ໂດຍ​ສະ​ເພາະ​ໃດ​ຫນຶ່ງ​ໃນ​ຂອບ​ການ​ເຮັດ​ວຽກ​ຂອງ Android ທີ່​ຈະ​ນໍາ​ໃຊ້​ໃນ app ໄດ້​.

ໂທລະ​ສັບ​ມື​ຖື​ຄັ້ງ​ທໍາ​ອິດ​ຖືກ​ນໍາ​ໃຊ້​ເພື່ອ​ສະ​ແກນ​ຂໍ້​ມູນ​ທີ່​ສໍາ​ຄັນ​ຫຼາຍ​ຈາກ​ບັດ​ຄ່າ​ໃຊ້​ຈ່າຍ​ແລະ​ໂອນ​ໄປ​ຍັງ​ໂທລະ​ສັບ​ມື​ຖື​ຄັ້ງ​ທີ​ສອງ​ເພື່ອ​ໄດ້​ຮັບ​ເງິນ​ທີ່​ບໍ່​ໄດ້​ຮັບ​ການ​ອະ​ນຸ​ມັດ​ຈາກ​ບັດ​ທະ​ນາ​ຄານ​ພາກ​ສ່ວນ​ທີ​ສາມ​.. ຫຼັງຈາກນັ້ນ, ໂທລະສັບມືຖືຕໍ່ໄປນີ້ຖືກໃຊ້ເພື່ອຫັກເງິນໃນປະລິມານທີ່ຈ່າຍເງິນ, ແນວພັນທີ່ຄືກັນຂອງຜູ້ຖືບັດເຮັດໃນຕອນທ້າຍ. ໃນຂະນະທີ່ຜູ້ສະຫມັກປະກາດວ່າຜູ້ຊື້ແມ່ນຜູ້ທີ່ອະນຸມັດບັດທະນາຄານ, ຜູ້ຂາຍບໍ່ເຂົ້າໃຈວ່າການເຮັດທຸລະກໍາແມ່ນການສໍ້ໂກງ. ບັນຫາສໍາຄັນແມ່ນວ່າ app ປັບປຸງລະບົບຄວາມປອດໄພຂອງ cardboard. ເຖິງແມ່ນວ່າຜົນລວມແມ່ນເກີນຂອບເຂດຈໍາກັດແລະຮຽກຮ້ອງໃຫ້ມີການຢືນຢັນ PIN, ບໍ່ມີລະຫັດຖືກຮ້ອງຂໍ.

ການນໍາໃຊ້ບັດທະນາຄານຂອງພວກເຂົາຢູ່ໃນປັດໃຈທີ່ຫລາກຫລາຍຂອງການຂາຍ, ນັກຄົ້ນຄວ້າໄດ້ມີຄວາມສາມາດໃນປະຈຸບັນວ່າໂຄງການການສໍ້ໂກງເຮັດວຽກ.

Toro ເວົ້າ, "ການຖອນເງິນເຮັດວຽກກັບບັດເດບິດແລະບັດທະນາຄານທີ່ອອກໃນຫຼາຍໆປະເທດໃນສະກຸນເງິນທີ່ແຕກຕ່າງກັນ."

ນັກວິທະຍາສາດໄດ້ແຈ້ງເຕືອນ Visa ໄປກ່ອນແລ້ວກ່ຽວກັບຊ່ອງໂຫວ່, ໃນເວລາດຽວກັນສະເໜີຄຳຕອບທີ່ເລືອກ.

ທົວ ອະທິບາຍ, “ການ​ປັບ​ປຸງ​ສາມ​ຢ່າງ​ຈະ​ຕ້ອງ​ໄດ້​ຮັບ​ການ​ເຮັດ​ໃຫ້​ອະ​ນຸ​ສັນ​ຍາ, ເຊິ່ງຫຼັງຈາກນັ້ນອາດຈະຖືກເອົາໃສ່ພາຍໃນຈຸດຄ່າທໍານຽມທີ່ມີໂຄງການຊອບແວຕໍ່ມາແທນ. ມັນອາດຈະຖືກປະຕິບັດດ້ວຍຄວາມພະຍາຍາມຫນ້ອຍທີ່ສຸດ. ບໍ່​ມີ​ສິ່ງ​ດັ່ງ​ກ່າວ​ເປັນ​ຕ້ອງ​ການ​ທີ່​ຈະ​ແລກ​ປ່ຽນ​ການ​ຫຼີ້ນ​ບັດ​ແມ່ນ​, ແລະການປັບຕົວທັງຫມົດປັບຕົວເຂົ້າກັບ EMV ທົ່ວໄປ."

ວາລະສານອ້າງອີງ:

1. ອ່າງ et al. ປະເພນີ EMV: ພັກຜ່ອນ, ສ້ອມແປງ, ຢືນຢັນ. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249