Научниците открија пропуст во безбедносниот систем на некои кредитни картички

Безконтактните банкарски картички се брза и практична опција за плаќање на редовно купување. Неопходно е да ја славиме вашата картичка на POS машина за да направите бесконтактна такса.

Мали количини може да се полнат брзо и едноставно на до, а картите за играње се сметаат за сигурни како резултат на безбедносната шифра е потребна за задолжување на огромни суми.

Повеќето од тие трансакции првенствено се засноваат на вообичаеното EMV, што се однесува на над 9 милијарди карти за играње ширум светот. Иако оттогаш е ревидиран повеќе пати, напредниот алгоритам има голем број пропусти кои може да се искористат.

Со различни безбедносни органи кои веќе откриваат грешки во вообичаеното, научниците во ЕТХ Цирих сега воведоа дополнително, сериозна безбедносна дупка.

Како прелиминарен чекор, Професорот за безбедност на податоци Дејвид Басен соработуваше со Ралф Сасе, виш истражувач во Одделот за наука за лаптоп, и Хорхе Торо Позо, постдок во собирот на Басен, да дизајнираат наменски изграден манекен за да можат да ги испитаат централните делови на вообичаеното EMV. Тие открија витална дупка во протоколот користен од фирмата за банкарски картички Visa.

Оваа ранливост им овозможува на измамниците да стекнат средства од карти за играње кои се погрешно поставени или украдени, иако се тврди дека количините се потврдени со внесување на ПИН-код.

Оваа ранливост ги овластува измамниците да акумулираат предмети од карти за играње што се погрешно поставени или украдени, без разлика што количините треба да се акредитираат со внесување во ПИН-код. Торо го става главно: „На сите очекувања и функции, ПИН-кодот е неефикасен токму овде“.

Различни корпорации, слично на Mastercard, Американски специфичен, и JCB, не користете го идентичниот протокол за Visa, така што овие карти за играње нема да бидат засегнати од безбедносната дупка. како и да е, пропустот може да се однесува на картите за играње издадени од Uncover и UnionPay, кои користат протокол сличен на Visa.

Аналитичарите имаа избор да покажат дека е замисливо да се искористи ранливоста во следното, без разлика што тоа е вистински непредвидлив циклус. Тие првично конструираа софтвер за Android и го ставија на два мобилни телефони со NFC. Ова му дозволи на 2 единиците за прегледување на податоците од кредитна картичка чип и комерцијални информации со терминали за плаќање. Неочекувано, аналитичарите не мораа да заобиколат некои посебни безбедносни карактеристики во работната рамка на Android за да ги стават во апликацијата.

Првиот мобилен телефон се користи за скенирање на многу важни податоци од трошковната картичка и префрлување на вториот мобилен телефон за да се добијат неодобрени средства од банкарска картичка од трета страна.. Следниот мобилен телефон потоа се користи за дебитирање на количината на касата, идентичната разновидност на иматели на картички не е доцна. Бидејќи апликантот изјавува дека купувачот е одобреното лице на банкарската картичка, продавачот не сфаќа дека трансакцијата е лажна. Главниот проблем е што апликацијата го надминува безбедносниот систем на картон. Иако сумата е над ограничувањето и бара потврда на ПИН, не се бара код.

Користење на нивните банкарски картички при различни фактори на продажба, Истражувачите можеа да покажат дека шемата за измама функционира.

вели Торо, „Рип-оф работи со дебитни и банкарски картички издадени во неколку нации во различни валути“.

Научниците веќе ја предупредија Visa за ранливоста, во исто време предлагајќи избран одговор.

Турнеја објаснува, „Треба да се направат три прилагодувања на протоколот, кои потоа може да се стават во терминалите за такси со последователна софтверска програма за замена. Многу добро може да се изврши со минимален напор. Не постои такво нешто како желба да се заменат картите за играње, и сите прилагодувања се прилагодуваат на вообичаеното EMV“.

Референца на весник:

1. Басен и сор. Обичајот EMV: Пауза, Поправка, Потврди. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249