शास्त्रज्ञांना काही क्रेडिट कार्डच्या सुरक्षा व्यवस्थेत त्रुटी आढळून आली

कॉन्टॅक्टलेस बँक कार्डे नियमित खरेदीसाठी देय देण्यासाठी एक जलद आणि सुलभ पर्याय आहे. कॉन्टॅक्टलेस फी घेण्यासाठी तुमचे कार्ड POS मशीनवर टाकणे आवश्यक आहे.

लहान प्रमाणात वेगाने आणि फक्त तोपर्यंत शुल्क आकारले जाऊ शकते, आणि गेमिंग पत्ते सुरक्षित समजले जातात कारण सुरक्षा कोडमुळे मोठी रक्कम डेबिट करणे आवश्यक आहे.

त्यापैकी बहुतांश व्यवहार हे प्रामुख्याने EMV कॉमनप्लेसवर आधारित असतात, जे वर लागू होते 9 जगभरात अब्जावधी पत्ते खेळत आहेत. तेव्हापासून त्यात अनेक वेळा सुधारणा केल्या गेल्या असल्या तरी, प्रगत अल्गोरिदममध्ये अनेक असुरक्षा आहेत ज्यांचा उपयोग केला जाऊ शकतो.

वेगवेगळ्या सुरक्षा अधिकाऱ्यांनी नेहमीच्या चुका आधीच शोधल्या आहेत, येथील शास्त्रज्ञ ETH झुरिच आता आणखी एक ओळख करून दिली आहे, गंभीर सुरक्षा पळवाट.

एक प्राथमिक पाऊल म्हणून, डेटा सेफ्टीचे प्रोफेसर डेव्हिड बेसिन यांनी राल्फ सासे यांच्याशी सहकार्य केले, लॅपटॉप सायन्स विभागातील एक वरिष्ठ संशोधक, आणि जॉर्ज टोरो पोझो, बेसिनच्या मेळाव्यात एक पोस्टडॉक, उद्देशाने तयार केलेला पुतळा डिझाइन करण्यासाठी जेणेकरुन ते सामान्य EMV च्या मध्यवर्ती भागांचे परीक्षण करू शकतील. बँक कार्ड फर्म व्हिसा द्वारे वापरलेल्या प्रोटोकॉलमध्ये त्यांना एक महत्त्वपूर्ण छिद्र सापडले.

ही असुरक्षा फसवणूक करणाऱ्यांना पत्ते खेळून पैसे मिळवण्याची परवानगी देते जी चुकीची किंवा चोरीला गेली आहेत., पिन कोड मिळवून प्रमाण प्रमाणित केल्याचा आरोप आहे.

ही असुरक्षा फसवणूक करणाऱ्यांना पत्ते खेळण्यापासून सामान जमा करण्यास सक्षम करते जे चुकीच्या ठिकाणी किंवा चोरीला गेले आहेत, पिन कोड मिळवून प्रमाणांना मान्यता मिळणे आवश्यक आहे याची पर्वा न करता. तोरो मुख्यत्वे ठेवतो: “सर्व अपेक्षा आणि कार्यांसाठी, पिन कोड येथे अप्रभावी आहे.”

विविध कॉर्पोरेशन, मास्टरकार्ड सारखे, अमेरिकन विशिष्ट, आणि जेसीबी, समान व्हिसा प्रोटोकॉल वापरू नका, त्यामुळे या खेळणाऱ्या पत्त्यांवर सुरक्षिततेच्या त्रुटीचा परिणाम होणार नाही. तरीही, अनकव्हर आणि UnionPay द्वारे जारी केलेल्या प्लेइंग कार्ड्सना ही त्रुटी लागू होऊ शकते, जे Visa प्रमाणे प्रोटोकॉल वापरतात.

विश्लेषकांना हे प्रदर्शित करण्याचा पर्याय होता की पुढील असुरक्षिततेचा फायदा घेणे कल्पनीय आहे, हे खरोखर अप्रत्याशित चक्र आहे याची पर्वा न करता. त्यांनी सुरुवातीला एक Android सॉफ्टवेअर तयार केले आणि ते दोन NFC-सक्षम सेल टेलिफोनवर ठेवले. यामुळे परवानगी मिळाली 2 च्या डेटाचा वापर करण्यासाठी युनिट्स क्रेडिट कार्ड फी टर्मिनल्ससह चिप आणि वाणिज्य माहिती. अनपेक्षितपणे, ॲपमध्ये ठेवण्यासाठी विश्लेषकांना Android वर्किंग फ्रेमवर्कमधील कोणतीही विशिष्ट सुरक्षा वैशिष्ट्ये बाजूला ठेवण्याची गरज नव्हती.

पहिल्या सेल्युलर फोनचा वापर कॉस्ट कार्डमधील अत्यंत महत्त्वाचा डेटा स्कॅन करण्यासाठी आणि तृतीय-पक्षाच्या बँक कार्डमधून मंजूर नसलेला निधी मिळविण्यासाठी दुसऱ्या सेलफोनमध्ये हस्तांतरित करण्यासाठी केला जातो.. खालील सेलफोन नंतर चेकआउटवर रक्कम डेबिट करण्यासाठी वापरला जातो, उशिरापर्यंत कार्डधारकांची समान विविधता आहे. अर्जदाराने घोषित केले की खरेदीदार ही बँक कार्डची मान्यताप्राप्त व्यक्ती आहे, विक्रेत्याला हे समजत नाही की व्यवहार फसवा आहे. महत्त्वाची समस्या ही आहे की ॲप कार्डबोर्डच्या सुरक्षा प्रणालीला मागे टाकते. जरी बेरीज निर्बंधापेक्षा जास्त आहे आणि पिन पुष्टीकरण आवश्यक आहे, कोडची विनंती केलेली नाही.

विक्रीच्या विविध घटकांवर त्यांचे बँक कार्ड वापरणे, फसवणूक योजना कार्य करते हे संशोधकांना सादर करण्यात सक्षम होते.

टोरो म्हणतो, "विविध चलनांमध्ये अनेक राष्ट्रांमध्ये जारी केलेल्या डेबिट आणि बँक कार्डसह रिप-ऑफ कार्य करते."

शास्त्रज्ञांनी आधीच व्हिसाला असुरक्षिततेबद्दल सतर्क केले आहे, निवडलेल्या उत्तराचा प्रस्ताव मांडताना त्याच वेळी.

टूर स्पष्ट करते, “प्रोटोकॉलमध्ये तीन समायोजने करणे आवश्यक आहे, जे नंतरच्या सॉफ्टवेअर प्रोग्रामसह फी टर्मिनल्समध्ये ठेवले जाऊ शकते. कमीत कमी प्रयत्नात ते फार चांगले अंमलात आणले जाऊ शकते. खेळत पत्ते अदलाबदल करू इच्छित असे काहीही नाही, आणि सर्व ऍडजस्टमेंट EMV कॉमनप्लेसशी जुळवून घेतात.”

जर्नल संदर्भ:

1. बेसिन वगैरे. ईएमव्ही प्रथा: ब्रेक, दुरुस्ती, पुष्टी करा. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249