සමහර ක්‍රෙඩිට් කාඩ් වල ආරක්ෂක පද්ධතියේ දෝෂයක් විද්‍යාඥයින් විසින් සොයා ගන්නා ලදී

සම්බන්ධතා රහිත බැංකු කාඩ්පත් නිතිපතා මිලදී ගැනීම් සඳහා ගෙවීමට ඉක්මන් සහ පහසු විකල්පයකි. සම්බන්ධතා රහිත ගාස්තුවක් ගෙවීමට ඔබගේ කාඩ්පත POS යන්ත්‍රයක් මත තැබීම අත්‍යවශ්‍ය වේ.

කුඩා ප්‍රමාණ ඉක්මනින් හා සරලව දක්වා ආරෝපණය කළ හැක, සහ යෝධ මුදල් හර කිරීම සඳහා ආරක්ෂිත කේතයක් අවශ්‍ය වන බැවින් ක්‍රීඩා කාඩ්පත් ආරක්ෂිත යැයි සැලකේ.

එම ගනුදෙනු බොහොමයක් මූලික වශයෙන් EMV පොදු ස්ථානය මත පදනම් වේ, over සඳහා අදාළ වේ 9 ලොව පුරා කාඩ්පත් බිලියන බිලියන. එතැන් සිට අවස්ථා ගණනාවක් සංශෝධනය කර ඇතත්, උසස් ඇල්ගොරිතමයට උපයෝගී කර ගත හැකි දුර්වලතා ගණනාවක් ඇත.

විවිධ ආරක්ෂක බලධාරීන් දැනටමත් සුපුරුදු දෝෂයන් සොයා ගෙන ඇත, දී විද්යාඥයන් ETH සූරිච් දැන් තවත් හඳුන්වා දී ඇත, දැඩි ආරක්ෂිත හිඩැස.

මූලික පියවරක් ලෙස, දත්ත ආරක්ෂාව පිළිබඳ මහාචාර්ය ඩේවිඩ් බේසින් රැල්ෆ් සාසේ සමඟ සහයෝගයෙන් කටයුතු කළේය, ලැප්ටොප් විද්‍යා අංශයේ ජ්‍යෙෂ්ඨ පර්යේෂකයෙක්, සහ Jorge Toro Pozo, බේසින්ගේ රැස්වීමේ පශ්චාත් ඩොක්ටර් කෙනෙක්, ඔවුන්ට EMV පොදු ස්ථානයේ මධ්‍ය කොටස් පරීක්ෂා කිරීමට හැකි වන පරිදි අරමුණක්-සාදන ලද mannequin නිර්මාණය කිරීමට. බැංකු කාඩ්පත් සමාගමක් වන වීසා විසින් භාවිතා කරන ලද ප්‍රොටෝකෝලයක වැදගත් සිදුරක් ඔවුන් සොයා ගත්හ.

මෙම අවදානම නිසා වංචනිකයින්ට අස්ථානගත වූ හෝ සොරකම් කර ඇති කාඩ්පත් ක්‍රීඩා කිරීමෙන් අරමුදල් ලබා ගැනීමට ඉඩ සලසයි, PIN කේතයක් ලබා ගැනීමෙන් ප්‍රමාණයන් වලංගු වන බවට චෝදනා කළත්.

අස්ථානගත වූ හෝ සොරකම් කරන ලද කාඩ්පත් ක්‍රීඩා කිරීමෙන් භාණ්ඩ රැස් කිරීමට මෙම අවදානම වංචාකරුවන්ට බලය ලබා දෙයි., PIN කේතයක් ලබා ගැනීමෙන් ප්‍රමාණයන් ප්‍රතීතනය කළ යුතු වුවද. ටෝරෝ එය ප්‍රධාන වශයෙන් ස්ථානගත කරයි: "සියලු අපේක්ෂාවන් සහ කාර්යයන් සඳහා, මෙහි PIN කේතය අකාර්යක්ෂමයි."

විවිධ සංගත, Mastercard හා සමානයි, ඇමරිකානු විශේෂිත, සහ JCB, සමාන වීසා ප්‍රොටෝකෝලය භාවිතා නොකරන්න, එබැවින් මෙම ක්‍රීඩා කාඩ්පත් ආරක්ෂිත ලූපයෙන් බලපාන්නේ නැත. කෙසේ වෙතත්, Uncover සහ UnionPay විසින් නිකුත් කරන ලද ක්‍රීඩා කාඩ්පත් සඳහා දෝෂය අදාළ විය හැක, වීසා වැනි ප්‍රොටෝකෝලයක් භාවිතා කරයි.

විශ්ලේෂකයින්ට පහත සඳහන් අවදානමෙන් ප්‍රයෝජන ගැනීමට සිතිය හැකි බව ප්‍රදර්ශනය කිරීමට තේරීමක් තිබුණි, එය සැබෑ ලෙසම අනපේක්ෂිත චක්‍රයක් බව නොතකා. ඔවුන් මුලින් ඇන්ඩ්‍රොයිඩ් මෘදුකාංගයක් ගොඩනගා NFC සක්‍රීය ජංගම දුරකථන දෙකක් මත තැබීය. මෙය අවසර දුන්නේය 2 වෙතින් දත්ත පරීක්ෂා කිරීමට ඒකක ණයවර පත ගාස්තු පර්යන්ත සමඟ චිප් සහ වාණිජ තොරතුරු. අනපේක්ෂිත ලෙස, යෙදුම තුළ තැබීම සඳහා විශ්ලේෂකයින්ට ඇන්ඩ්‍රොයිඩ් ක්‍රියාකාරී රාමුව තුළ කිසිදු විශේෂිත ආරක්‍ෂිත අංගයක් මග හැරීමට සිදු නොවීය.

තෙවන පාර්ශවීය බැංකු කාඩ්පතකින් අනුමත නොකළ අරමුදල් ලබා ගැනීම සඳහා පිරිවැය කාඩ්පතෙන් ඉතා වැදගත් දත්ත පරිලෝකනය කර දෙවන ජංගම දුරකථනයට මාරු කිරීමට පළමු සෙලියුලර් දුරකථනය භාවිතා කරයි.. පහත ජංගම දුරකථනය පසුව පිටවීමේ ප්‍රමාණය හර කිරීමට භාවිතා කරයි, කාඩ්පත් හිමියන්ගේ අනන්‍ය විවිධත්වය ප්‍රමාද වී ඇත. අයදුම්කරු ප්‍රකාශ කරන පරිදි සාප්පු යන්නා බැංකු කාඩ්පතේ අනුමත පුද්ගලයා බව, ගනුදෙනුව වංචනික බව විකුණන්නාට වැටහෙන්නේ නැත. ප්‍රධාන ගැටළුව වන්නේ යෙදුම කාඩ්බෝඩ් ආරක්ෂණ පද්ධතිය අභිබවා යාමයි. එකතුව සීමාව ඉක්මවා ඇති අතර PIN තහවුරු කිරීම අවශ්‍ය වුවද, කේතයක් ඉල්ලා නැත.

විකිණීමේ විවිධ සාධක මත ඔවුන්ගේ බැංකු කාඩ්පත් භාවිතා කිරීම, වංචා යෝජනා ක්‍රමය ක්‍රියාත්මක වන බව ඉදිරිපත් කිරීමට පර්යේෂකයන්ට හැකි විය.

ටෝරෝ පවසයි, "රිප්-ඕෆ් ක්‍රියා කරන්නේ විවිධ මුදල් වර්ග වලින් ජාතීන් කිහිපයක නිකුත් කරන ලද හර සහ බැංකු කාඩ්පත් සමඟ ය."

විද්‍යාඥයන් දැනටමත් වීසා අවදානම ගැන අනතුරු අඟවා ඇත, තෝරාගත් පිළිතුරක් යෝජනා කරන එකම වේලාවක.

සංචාරය පැහැදිලි කරයි, “ප්‍රොටෝකෝලයට ගැලපීම් තුනක් කළ යුතුයි, එය පසුව මෘදුකාංග ප්‍රතිස්ථාපනය සමඟ ගාස්තු පර්යන්ත තුළට ඇතුළත් කළ හැක. අවම උත්සාහයකින් එය ඉතා හොඳින් ක්‍රියාත්මක කළ හැකිය. ක්‍රීඩා කාඩ්පත් හුවමාරු කර ගැනීමට අවශ්‍ය යැයි දෙයක් නැත, සහ සියලුම ගැලපීම් EMV පොදු ස්ථානයට ගැලපේ.

සඟරා යොමු:

1. බේසින් සහ අල්. EMV සිරිත් විරිත්: කඩන්න, අලුත්වැඩියා කරන්න, තහවුරු කරන්න. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249