iVIGA Tap Factory-leverancier
Wetenschappers hebben een fout ontdekt in het veiligheidssysteem van sommige bankkaarten
De contactloze bankkaarten zijn een snelle en handige manier om regelmatig aankopen te betalen. Het is essentieel dat u uw kaart op een POS-machine tikt om contactloos te betalen.
Kleine hoeveelheden kunnen snel en eenvoudig op de kassa worden geladen, en de speelkaarten worden als veilig beschouwd omdat er een veiligheidscode nodig is om grote bedragen af te schrijven.
De meeste van deze transacties zijn voornamelijk gebaseerd op het EMV-gebruik, wat geldt voor over 9 miljard speelkaarten wereldwijd. Hoewel het sindsdien een aantal keren is herzien, het geavanceerde algoritme heeft een aantal kwetsbaarheden die kunnen worden uitgebuit.
Terwijl verschillende veiligheidsinstanties al fouten ontdekken in het gebruikelijke, wetenschappers bij ETH Zürich hebben er nu nog een geïntroduceerd, ernstige veiligheidslacune.
Als voorbereidende stap, Hoogleraar Dataveiligheid David Basin werkte samen met Ralf Sasse, een senior onderzoeker binnen de afdeling Laptop Science, en Jorge Toro Pozo, een postdoc in de bijeenkomst van Basin, om een speciaal gebouwde mannequin te ontwerpen, zodat ze de centrale delen van de EMV-gewoonte konden onderzoeken. Ze ontdekten een essentieel gat in een protocol dat werd gebruikt door bankkaartfirma Visa.
Door deze kwetsbaarheid kunnen fraudeurs geld verkrijgen van speelkaarten die zoekgeraakt of gestolen zijn, hoewel de hoeveelheden zouden worden gevalideerd door een pincode in te voeren.
Deze kwetsbaarheid stelt fraudeurs in staat bezittingen te verzamelen van speelkaarten die zoekgeraakt of gestolen zijn, ongeacht of de hoeveelheden moeten worden geaccrediteerd door een pincode in te voeren. Toro plaatst het voornamelijk: “Aan alle verwachtingen en functies, de pincode heeft hier geen effect.”
Verschillende bedrijven, gelijk aan Mastercard, Amerikaans specifiek, en JCB, gebruik niet het identieke Visa-protocol, dus deze speelkaarten zullen niet worden beïnvloed door de veiligheidsmaas in de wet. Toch, de fout kan van toepassing zijn op de speelkaarten uitgegeven door Uncover en UnionPay, die een protocol gebruiken dat veel lijkt op dat van Visa.
Analisten hadden de keuze om aan te tonen dat het denkbaar is om op deze manier misbruik te maken van de kwetsbaarheid, ondanks dat het een echt onvoorspelbare cyclus is. Ze ontwikkelden aanvankelijk Android-software en installeerden deze op twee NFC-compatibele mobiele telefoons. Dit maakte het mogelijk 2 eenheden om gegevens uit de creditcard chip- en handelsinformatie met betaalterminals. Onverwacht, de analisten hoefden geen specifieke veiligheidsfuncties binnen het Android-werkframework te omzeilen om in de app te plaatsen.
De eerste mobiele telefoon wordt gebruikt om de zeer belangrijke gegevens van de kostenkaart te scannen en deze over te dragen naar de tweede mobiele telefoon om niet-goedgekeurd geld van een bankkaart van derden te ontvangen. Vervolgens wordt het volgende mobieltje gebruikt om het aantal af te schrijven bij het afrekenen, de identieke verscheidenheid aan kaarthouders doet dat de laatste tijd. Omdat de aanvrager verklaart dat de klant de goedgekeurde persoon van de bankkaart is, de verkoper merkt niet dat de transactie frauduleus is. Het centrale probleem is dat de app het veiligheidssysteem van het karton te slim af is. Hoewel het bedrag de limiet overschrijdt en een pincodebevestiging vereist, er wordt geen code gevraagd.
Hun bankkaarten gebruiken bij verschillende verkoopfactoren, de onderzoekers hadden kunnen aantonen dat het fraudeplan werkt.
zegt Toro, “De oplichterij werkt met debet- en bankkaarten die in verschillende landen in verschillende valuta’s zijn uitgegeven.”
Wetenschappers hebben Visa al op de hoogte gebracht van de kwetsbaarheid, op hetzelfde moment een geselecteerd antwoord voorstellen.
Tour legt uit, “Er zijn drie aanpassingen nodig in het protocol, die vervolgens in de betaalterminals kan worden geplaatst bij de daaropvolgende vervanging van het softwareprogramma. Het kan heel goed met minimale inspanning worden uitgevoerd. Er bestaat niet zoiets als de wens om de speelkaarten uit te wisselen, en alle aanpassingen passen zich aan de EMV-gewoonte aan.”
Tijdschriftreferentie:
- Bassin et al. De EMV gebruikelijk: Pauze, Reparatie, Bevestigen. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
