Mokslininkai aptiko kai kurių kredito kortelių apsaugos sistemos trūkumą

Bekontaktės banko kortelės yra greita ir patogi galimybė atsiskaityti už nuolatinius pirkinius. Norint sumokėti bekontaktį mokestį, labai svarbu, kad kortelė būtų maišoma POS aparate.

Mažus kiekius galima greitai ir paprastai įkrauti iki, o žaidimo kortos laikomos saugiomis, nes norint nurašyti milžiniškas sumas reikalingas saugos kodas.

Dauguma šių sandorių pirmiausia yra pagrįsti EMV įprasta, kuris taikomas per 9 milijardas žaidimo kortų visame pasaulyje. Nors nuo to laiko jis buvo keletą kartų peržiūrėtas, Išplėstinis algoritmas turi daugybę pažeidžiamumų, kurie gali būti išnaudojami.

Skirtingoms saugos institucijoms jau atrandama įprastų klaidų, mokslininkai adresu ETH Ciurichas dabar pristatė dar vieną, rimta saugos spraga.

Kaip preliminarus žingsnis, Duomenų saugos profesorius Davidas Basinas bendradarbiavo su Ralfu Sasse, Nešiojamųjų kompiuterių mokslo skyriaus vyresnioji mokslo darbuotoja, ir Jorge Toro Pozo, postdokas Basino susirinkime, sukurti specialiai sukurtą manekeną, kad jie galėtų ištirti centrines EMV įprastas dalis. Jie atrado gyvybiškai svarbią skylę protokole, kurį naudojo banko kortelių įmonė „Visa“..

Dėl šio pažeidžiamumo sukčiai gali įgyti lėšų iš žaidimo kortų, kurios buvo pamestos arba pavogtos, nors kiekiai tvirtinami įvedant PIN kodą.

Šis pažeidžiamumas suteikia sukčiams galimybę kaupti daiktus iš žaidimo kortų, kurios buvo netinkamai padėtos arba pavogtos., nepaisant to, kad kiekius reikia akredituoti įvedant PIN kodą. „Toro“ tai daugiausiai: „Į visus lūkesčius ir funkcijas, PIN kodas čia neveikia.

Įvairios korporacijos, panašus į Mastercard, Amerikos specifika, ir JCB, nenaudokite identiško „Visa“ protokolo, todėl šioms žaidimo kortoms saugumo spraga nepaveiks. Nepaisant to, trūkumas gali būti taikomas Uncover ir UnionPay išleistoms žaidimo kortoms, kurios naudoja protokolą panašiai kaip „Visa“..

Analitikai turėjo galimybę parodyti, kad įmanoma pasinaudoti pažeidžiamumu, nepaisant to, kad tai tikrai nenuspėjamas ciklas. Iš pradžių jie sukūrė „Android“ programinę įrangą ir įdėjo ją į du NFC palaikančius mobiliuosius telefonus. Tai leido 2 vienetų, kad galėtumėte peržiūrėti duomenis iš kreditine kortele lustas ir komercinė informacija su mokesčių terminalais. Netikėtai, analitikams nereikėjo apeiti jokių konkrečių saugos funkcijų Android darbinėje sistemoje, kad įdiegtų programą.

Pirmasis mobilusis telefonas naudojamas labai svarbiems duomenims nuskaityti iš išlaidų kortelės ir perkelti į antrąjį telefoną, kad būtų gautos nepatvirtintos lėšos iš trečiosios šalies banko kortelės.. Tada šis mobilusis telefonas naudojamas sumai nurašyti kasoje, identiška kortelių turėtojų įvairovė pastaruoju metu. Kadangi besikreipiantis deklaruoja, kad pirkėjas yra banko kortelės patvirtintas asmuo, pardavėjas nesuvokia, kad sandoris yra nesąžiningas. Esminė problema yra ta, kad programa pranoksta kartono saugos sistemą. Nors suma viršija apribojimą ir reikalauja PIN patvirtinimo, kodo neprašoma.

Banko kortelių naudojimas įvairiais pardavimo veiksniais, tyrėjai galėjo įrodyti, kad sukčiavimo schema veikia.

Toro sako, „Atplėšimas veikia su debeto ir banko kortelėmis, išleistomis keliose šalyse įvairiomis valiutomis.

Mokslininkai jau įspėjo „Visa“ apie pažeidžiamumą, tuo pačiu metu pasiūlo pasirinktą atsakymą.

Ekskursija paaiškina, „Protokole reikia atlikti tris pataisymus, kuris vėliau gali būti įdėtas į mokesčių terminalus su vėlesniu programinės įrangos pakeitimu. Tai labai gerai gali būti atlikta su minimaliomis pastangomis. Nėra tokio dalyko kaip noras pasikeisti žaidimo kortomis, ir visi koregavimai prisitaiko prie EMV kasdienybės.

Žurnalo nuoroda:

1. Basinas ir kt. EMV paprotys: Pertrauka, Remontas, Patvirtinti. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249