वैज्ञानिकहरूले केही क्रेडिट कार्डहरूको सुरक्षा प्रणालीमा त्रुटि पत्ता लगाएका छन्

सम्पर्कविहीन बैंक कार्डहरू नियमित रूपमा खरिदहरूमा भुक्तानी गर्न द्रुत र सजिलो विकल्प हो. कन्ट्याक्टलेस शुल्क बनाउनको लागि तपाईंको कार्डलाई POS मेसिनमा नल लगाउनु आवश्यक छ.

साना मात्राहरू छिटो र सरल रूपमा चार्ज गर्न सकिन्छ, र विशाल रकम डेबिट गर्न सुरक्षा कोड आवश्यक पर्ने भएकाले खेल्ने कार्डहरूलाई सुरक्षित ठानिन्छ.

ती अधिकांश कारोबारहरू मुख्यतया EMV सामान्यमा आधारित हुन्छन्, जुन माथि लागू हुन्छ 9 विश्वभर अरबौं कार्ड खेल्दै. यद्यपि यो पछि धेरै पटक परिमार्जन गरिएको छ, उन्नत एल्गोरिदममा धेरै कमजोरीहरू छन् जुन शोषण गर्न सकिन्छ.

विभिन्न सुरक्षा अधिकारीहरूले पहिले नै सामान्यमा त्रुटिहरू पत्ता लगाएका छन्, मा वैज्ञानिकहरू ETH ज्यूरिख अब थप परिचय दिएका छन्, गम्भीर सुरक्षा गल्ती.

प्रारम्भिक चरणको रूपमा, डाटा सेफ्टीका प्रोफेसर डेभिड बेसिनले राल्फ सासेसँग सहकार्य गरे, ल्यापटप विज्ञान को डिभिजन भित्र एक वरिष्ठ शोधकर्ता, र जर्ज टोरो पोजो, बेसिनको भेलामा पोस्टडक, उद्देश्य-निर्मित पुतला डिजाइन गर्न ताकि तिनीहरूले EMV सामान्य स्थानको केन्द्रीय भागहरू जाँच गर्न सकून्. तिनीहरूले बैंक कार्ड फर्म भिसा द्वारा प्रयोग गरिएको प्रोटोकलमा महत्त्वपूर्ण प्वाल पत्ता लगाए.

यो कमजोरीले धोखाधडीहरूलाई कार्डहरू खेल्नबाट पैसा प्राप्त गर्न अनुमति दिन्छ जुन हराएको वा चोरी भएको छ।, यद्यपि परिमाणहरू पिन कोडमा प्राप्त गरेर प्रमाणीकरण गरिएको आरोप लगाइएको छ.

यो जोखिमले धोखाधडीहरूलाई कार्डहरू खेल्ने सामानहरू जम्मा गर्न सशक्त बनाउँछ जुन हराएको वा चोरी भएको छ।, पिन कोड प्राप्त गरेर परिमाणहरू मान्यता प्राप्त गर्न आवश्यक छ कि छैन. टोरोले यसलाई मुख्य रूपमा राख्छ: "सबै अपेक्षा र कार्यहरु को लागी, पिन कोड यहाँ अप्रभावी छ।"

विभिन्न निगमहरू, मास्टरकार्ड जस्तै, अमेरिकी विशिष्ट, र JCB, समान भिसा प्रोटोकल प्रयोग नगर्नुहोस्, त्यसैले यी खेल्ने कार्डहरू सुरक्षा लुफोलले प्रभावित हुने छैनन्. जे होस्, यो त्रुटि Uncover र UnionPay द्वारा जारी गरिएको प्ले कार्डहरूमा लागू हुन सक्छ, जसले भिसा जस्तै प्रोटोकल प्रयोग गर्दछ.

विश्लेषकहरूसँग प्रदर्शन गर्ने विकल्प थियो कि यो फलोमा रहेको जोखिमको फाइदा उठाउन सम्भव छ।, चाहे यो एक वास्तविक अप्रत्याशित चक्र हो. तिनीहरूले सुरुमा एन्ड्रोइड सफ्टवेयर निर्माण गरे र यसलाई दुई एनएफसी-सक्षम सेल टेलिफोनहरूमा राखे. यसले अनुमति दियो 2 बाट डाटा अध्ययन गर्न एकाइहरू क्रेडिट कार्ड शुल्क टर्मिनलहरूको साथ चिप र वाणिज्य जानकारी. अप्रत्याशित रूपमा, विश्लेषकहरूले एपमा राख्नको लागि एन्ड्रोइड कार्य ढाँचा भित्र कुनै पनि विशेष सुरक्षा सुविधाहरू पन्छाउनु पर्दैन।.

पहिलो सेलुलर फोन लागत कार्डबाट धेरै महत्त्वपूर्ण डाटा स्क्यान गर्न र तेस्रो-पक्ष बैंक कार्डबाट अस्वीकृत रकम प्राप्त गर्न दोस्रो सेलफोनमा स्थानान्तरण गर्न प्रयोग गरिन्छ।. निम्न सेलफोन त्यसपछि चेकआउटमा मात्रा डेबिट गर्न प्रयोग गरिन्छ, उस्तै प्रकारका कार्डधारकहरू ढिलोसम्म गर्छन्. किनमेलकर्ता बैंक कार्डको स्वीकृत व्यक्ति हो भनेर आवेदन दिनेले घोषणा गरेको छ, बिक्रेता लेनदेन धोखाधडी हो भनेर बुझ्दैनन्. मुख्य मुद्दा यो हो कि एपले कार्डबोर्डको सुरक्षा प्रणालीलाई बाहिर निकाल्छ. यद्यपि योग प्रतिबन्ध भन्दा माथि छ र PIN पुष्टि आवश्यक छ, कुनै कोड अनुरोध गरिएको छैन.

तिनीहरूको बैंक कार्डहरू बिक्रीको विभिन्न कारकहरूमा प्रयोग गर्दै, अनुसन्धानकर्ताहरूले जालसाजी योजनाले काम गर्छ भनेर प्रस्तुत गर्न सक्षम थिए.

टोरो भन्छन्, "रिप-अफले विभिन्न देशहरूमा विभिन्न मुद्राहरूमा जारी गरिएको डेबिट र बैंक कार्डहरूसँग काम गर्दछ।"

वैज्ञानिकहरूले पहिले नै भिसाको जोखिमलाई सचेत गरिसकेका छन्, उस्तै समयमा एक चयन गरिएको जवाफ प्रस्ताव.

भ्रमण व्याख्या गर्दछ, "प्रोटोकलमा तीनवटा समायोजन गर्न आवश्यक छ, जुन पछिको सफ्टवेयर प्रोग्राम प्रतिस्थापनको साथ शुल्क टर्मिनलहरू भित्र राख्न सकिन्छ. यो न्यूनतम प्रयास संग धेरै राम्रो कार्यान्वयन गर्न सकिन्छ. खेल कार्डहरू आदानप्रदान गर्न चाहने जस्तो कुनै चीज छैन, र सबै समायोजनहरू EMV सामान्य स्थानमा समायोजन हुन्छन्।"

जर्नल सन्दर्भ:

1. बेसिन एट अल. EMV प्रथा: ब्रेक, मर्मत गर्नुहोस्, पुष्टि गर्नुहोस्. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249