Ix-xjentisti skoprew difett fis-sistema tas-sigurtà ta’ xi karti ta’ kreditu

Il-kards bankarji mingħajr kuntatt huma għażla ta 'malajr u faċli biex tħallas fuq xiri ta' bażi regolari. Huwa essenzjali li tgħaqqad il-karta tiegħek fuq magna POS biex tagħmel ħlas mingħajr kuntatt.

Kwantitajiet żgħar jistgħu jiġu ċċarġjati malajr u sempliċiment fuq il-, u l-karti tal-logħob huma meqjusa sikuri bħala riżultat ta 'kodiċi ta' sigurtà huwa meħtieġ li jiddebita somom ġgant.

Ħafna minn dawk it-tranżazzjonijiet huma primarjament ibbażati fuq l-EMV komuni, li japplika għal fuq 9 biljun karti tal-logħob madwar id-dinja. Għalkemm ġie rivedut numru ta 'okkażjonijiet minn dakinhar, l-algoritmu avvanzat għandu numru ta 'vulnerabbiltajiet li jistgħu jiġu sfruttati.

B'awtoritajiet tas-sikurezza differenti diġà qed jiskopru żbalji fis-soltu, xjenzati fuq ETH Zurich issa introduċew ieħor, lakuna severa tas-sigurtà.

Bħala pass preliminari, Il-Professur tas-Sigurtà tad-Data David Basin ikkollabora ma' Ralf Sasse, riċerkatur anzjan fi ħdan id-Diviżjoni tax-Xjenza tal-Laptop, u Jorge Toro Pozo, postdoc fil-ġbir ta’ Basin, biex tiddisinja mannequin mibni apposta sabiex ikunu jistgħu jeżaminaw il-partijiet ċentrali ta 'l-EMV komuni. Huma skoprew toqba vitali fi protokoll użat mid-ditta tal-karti tal-bank Visa.

Din il-vulnerabbiltà tippermetti lill-frodisti jakkwistaw fondi minn karti tal-logħob li ma jkunux f’posthom jew misruqa, għalkemm il-kwantitajiet huma allegati li jiġu vvalidati billi jidħlu f'kodiċi PIN.

Din il-vulnerabbiltà tagħti s-setgħa lill-frodisti biex jakkumulaw affarijiet minn karti tal-logħob li jkunu ġew f’posthom ħażin jew misruqa, irrispettivament li l-kwantitajiet jeħtieġ li jiġu akkreditati billi tidħol f'kodiċi PIN. Toro jpoġġiha prinċipalment: “Għall-aspettattivi u l-funzjonijiet kollha, il-kodiċi PIN huwa ineffettiv hawnhekk.”

Korporazzjonijiet differenti, simili għal Mastercard, Speċifiku Amerikan, u JCB, tużax il-protokoll identiku tal-Visa, għalhekk dawn il-karti tal-logħob mhux se jiġu affettwati mil-lakuna tas-sigurtà. Madankollu, id-difett jista' japplika għall-karti tal-logħob maħruġa minn Uncover u UnionPay, li jużaw protokoll bħal ta’ Visa.

L-analisti kellhom l-għażla li juru li huwa konċepibbli li jieħdu vantaġġ mill-vulnerabbiltà li ġejja, irrispettivament li huwa ċiklu ġenwinament imprevedibbli. Inizjalment bnew softwer Android u poġġew fih fuq żewġ mowbajls li jaħdmu bl-NFC. Dan ippermetta l- 2 unitajiet biex jaqraw b'attenzjoni data mill- karta tal-kreditu ċippa u informazzjoni dwar il-kummerċ b'terminals tat-tariffi. Bla mistenni, l-analisti ma kellhomx għalfejn jaħarbu l-ebda karatteristika ta 'sikurezza partikolari fil-qafas ta' ħidma ta 'Android biex ipoġġu fl-app.

L-ewwel telefon ċellulari huwa utilizzat biex tiskennja d-dejta importanti ħafna mill-karta tal-ispiża u tittrasferiha għat-tieni cellphone biex tikseb fondi mhux approvati minn karta tal-bank ta 'parti terza. It-telefon ċellulari li ġej imbagħad jintuża biex jiddebita l-kwantità fuq iċ-checkout, il-varjetà identika ta' detenturi tal-kard tagħmel dan l-aħħar. Peress li l-applikant jiddikjara li x-xerrej huwa l-persuna approvata tal-karta tal-bank, il-bejjiegħ ma jipperċepixxix li t-tranżazzjoni hija frawdolenti. Il-kwistjoni ċentrali hija li l-app tegħleb is-sistema ta 'sikurezza tal-kartun. Għalkemm is-somma hija fuq ir-restrizzjoni u teħtieġ affermazzjoni PIN, ebda kodiċi ma huwa mitlub.

Jutilizzaw il-karti tal-bank tagħhom f'fatturi varji ta 'bejgħ, ir-riċerkaturi kienu kapaċi jippreżentaw li l-iskema tal-frodi taħdem.

Toro jgħid, "L-irfigħ jaħdem b'karti ta' debitu u bankarji maħruġa f'diversi nazzjonijiet f'muniti varjati."

Ix-xjentisti diġà wrew lil Visa dwar il-vulnerabbiltà, fuq il-ħin identiku jipproponi tweġiba magħżula.

Tour jispjega, “Jeħtieġ li jsiru tliet aġġustamenti fil-protokoll, li mbagħad jistgħu jiddaħħlu fit-terminals tal-miżati bil-programm tas-softwer sussegwenti jissostitwixxi. Jista 'jkun eżegwit tajjeb ħafna bi sforz minimu. M'hemm l-ebda ħaġa bħal trid tbiddel il-karti tal-logħob, u l-aġġustamenti kollha jaġġustaw għall-EMV komuni.”

Referenza tal-Ġurnal:

1. Basin et al. Il-Konswetudini EMV: Break, Tiswija, Ikkonferma. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249