iVIGA krānu rūpnīcas piegādātājs
Zinātnieki konstatēja trūkumu dažu banku karšu drošības sistēmā
Bezkontakta bankas kartes ir ātra un ērta iespēja regulāri norēķināties par pirkumiem. Lai iekasētu bezkontakta maksu, karte ir obligāti jānovieto POS automātā.
Nelielus daudzumus var ātri un vienkārši iekasēt līdz, un spēļu kārtis tiek uzskatītas par drošām, jo drošības kods ir nepieciešams, lai debetētu milzīgas summas.
Lielākā daļa šo darījumu galvenokārt ir balstīti uz EMV parasto, kas attiecas uz vairāk 9 miljardu spēļu kāršu visā pasaulē. Lai gan kopš tā laika tas ir vairākkārt pārskatīts, uzlabotajam algoritmam ir vairākas ievainojamības, kuras var tikt izmantotas.
Ar dažādām drošības iestādēm jau atklāj kļūdas parastajā, zinātnieki plkst ETH Cīrihe tagad ir ieviesuši vēl vienu, nopietna drošības nepilnība.
Kā sākotnējais solis, Datu drošības profesors Deivids Basins sadarbojās ar Ralfu Sasu, vecākais pētnieks klēpjdatoru zinātnes nodaļā, un Horhe Toro Pozo, pēcdoktors Basina sapulcē, izstrādāt speciāli izveidotu manekenu, lai viņi varētu izpētīt EMV parastās centrālās daļas. Viņi atklāja būtisku robu protokolā, ko izmantoja bankas karšu firma Visa.
Šī ievainojamība ļauj krāpniekiem iegūt līdzekļus no nevietā vai nozagtām spēļu kārtīm, lai gan tiek apgalvots, ka daudzumus apstiprina, ievadot PIN kodu.
Šī ievainojamība ļauj krāpniekiem uzkrāt mantas no spēļu kārtīm, kas ir nevietā vai nozagtas., neatkarīgi no tā, ka daudzums ir jāakreditē, ievadot PIN kodu. Toro to novieto galvenokārt: “Visām cerībām un funkcijām, PIN kods šeit ir nederīgs.
Dažādas korporācijas, līdzīgi kā Mastercard, Amerikāņu specifika, un JCB, neizmantojiet identisku Visa protokolu, tāpēc šīs spēļu kārtis neietekmēs drošības nepilnības. Tomēr, Trūkums var attiekties uz Uncover un UnionPay izdotajām spēļu kārtīm, kas izmanto protokolu līdzīgi kā Visa.
Analītiķiem bija izvēle parādīt, ka ir iespējams izmantot turpmākās ievainojamības priekšrocības, neatkarīgi no tā, ka tas ir patiesi neparedzams cikls. Viņi sākotnēji izveidoja Android programmatūru un ievietoja to divos mobilajos tālruņos ar NFC. Tas ļāva 2 vienības, lai izpētītu datus no kredītkarte mikroshēmu un tirdzniecības informācija ar maksas termināļiem. Negaidīti, analītiķiem nebija jāizvairās no noteiktiem drošības līdzekļiem Android darba sistēmā, lai tos ievietotu lietotnē.
Pirmais mobilais tālrunis tiek izmantots, lai skenētu ļoti svarīgos datus no izmaksu kartes un pārsūtītu tos uz otro mobilo tālruni, lai iegūtu neapstiprinātus līdzekļus no trešās puses bankas kartes.. Tālāk norādītais mobilais tālrunis tiek izmantots, lai debetētu daudzumu kasē, identiski dažādi karšu īpašnieki to dara līdz šim. Kā pieteicējs apliecina, ka pircējs ir bankas kartes apstiprinātā persona, pārdevējs neuzskata, ka darījums ir krāpniecisks. Galvenā problēma ir tā, ka lietotne pārspēj kartona drošības sistēmu. Lai gan summa pārsniedz ierobežojumu un prasa PIN apstiprinājumu, kods netiek pieprasīts.
Banku karšu izmantošana dažādos pārdošanas faktoros, pētnieki varēja pierādīt, ka krāpšanas shēma darbojas.
Toro saka, "Izvilkšana notiek ar debetkartēm un banku kartēm, kas izdotas vairākās valstīs dažādās valūtās."
Zinātnieki jau ir brīdinājuši Visa par ievainojamību, tajā pašā laikā, piedāvājot izvēlēto atbildi.
Ekskursija skaidro, “Protokolā ir jāveic trīs korekcijas, kas pēc tam var tikt ievietoti maksas terminālos ar sekojošu programmatūras nomaiņu. To ļoti labi var izpildīt ar minimālu piepūli. Nav tādas lietas kā vēlme apmainīt spēļu kārtis, un visi pielāgojumi pielāgojas EMV ierastajam.
Žurnāla atsauce:
- Basins u.c. Parasta EMV: Pārtraukums, Remonts, Apstiprināt. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
