Forskere oppdaget en feil i sikkerhetssystemet til noen kredittkort

De kontaktløse bankkortene er et raskt og praktisk alternativ å betale for regelmessige kjøp. Det er viktig å tappe kortet ditt på en POS-maskin for å få en kontaktløs avgift.

Små mengder kan belastes raskt og enkelt på inntil, og spillekortene anses som sikre som et resultat av at det kreves en sikkerhetskode for å belaste gigantiske summer.

De fleste av disse transaksjonene er først og fremst basert på EMV som er vanlig, som gjelder over 9 milliarder spillekort over hele verden. Selv om den har blitt revidert flere ganger siden den gang, den avanserte algoritmen har en rekke sårbarheter som kan utnyttes.

Med forskjellige sikkerhetsmyndigheter som allerede oppdager feil i det vanlige, forskere ved ETH Zürich har nå introdusert en ytterligere, alvorlig sikkerhetshull.

Som et foreløpig skritt, Professor i datasikkerhet David Basin samarbeidet med Ralf Sasse, en seniorforsker innen avdelingen for bærbar PC-vitenskap, og Jorge Toro Pozo, en postdoktor i Basins samling, å designe en spesialbygget utstillingsdukke slik at de kan undersøke de sentrale delene av EMV-normalen. De oppdaget et viktig hull i en protokoll brukt av bankkortfirmaet Visa.

Denne sårbarheten gjør det mulig for svindlere å skaffe penger fra spillkort som er blitt forlagt eller stjålet, selv om mengdene påstås å være validert ved å få inn en PIN-kode.

Denne sårbarheten gir svindlere mulighet til å samle eiendeler fra spillekort som har blitt forlagt eller stjålet, uavhengig av at mengdene må akkrediteres ved å få inn en PIN-kode. Toro plasserer det hovedsakelig: «Til alle forventninger og funksjoner, PIN-koden er ineffektiv akkurat her."

Ulike selskaper, ligner på Mastercard, American Specific, og JCB, ikke bruk den samme Visa-protokollen, så disse spillkortene vil ikke bli påvirket av sikkerhetssmutthullet. Ikke desto mindre, feilen kan gjelde for spillekortene utstedt av Uncover og UnionPay, som bruker en protokoll som ligner på Visas.

Analytikere hadde valget om å vise at det er tenkelig å dra nytte av sårbarheten i følge, uavhengig av at det er en genuint uforutsigbar syklus. De konstruerte først en Android-programvare og satte den inn på to NFC-aktiverte mobiltelefoner. Dette tillot 2 enheter for å lese data fra kredittkort chip og handelsinformasjon med gebyrterminaler. Uventet, analytikerne trengte ikke å omgå noen spesielle sikkerhetsfunksjoner innenfor Android-arbeidsrammen for å sette inn appen.

Den første mobiltelefonen brukes til å skanne de svært viktige dataene fra kostnadskortet og overføre dem til den andre mobiltelefonen for å få ikke-godkjente midler fra et tredjeparts bankkort. Følgende mobiltelefon brukes deretter til å belaste kvantumet i kassen, identiske utvalg av kortholdere gjør som i det siste. Som søker erklærer at kjøper er bankkortets godkjente person, selgeren oppfatter ikke at transaksjonen er uredelig. Det sentrale problemet er at appen utmanøvrerer pappens sikkerhetssystem. Selv om summen er over grensen og krever PIN-bekreftelse, ingen kode er forespurt.

Ved å bruke bankkortene sine på forskjellige salgsfaktorer, forskerne hadde vært i stand til å vise at svindelordningen fungerer.

sier Toro, "Rapningen fungerer med debet- og bankkort utstedt i flere nasjoner i forskjellige valutaer."

Forskere har allerede varslet Visa om sårbarheten, på samme tidspunkt å foreslå et valgt svar.

Omvisning forklarer, "Tre justeringer må gjøres i protokollen, som deretter kan settes inn i gebyrterminalene med den påfølgende programvaren erstattes. Det kan godt utføres med minimal innsats. Det er ikke noe slikt som å ønske å bytte ut spillkortene, og alle justeringer tilpasser seg det vanlige EMV."

Journalreferanse:

1. Basin et al. EMV-vanen: Brudd, Reparere, Bekrefte. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249