Vedci objavili chybu v bezpečnostnom systéme niektorých kreditných kariet

Bezkontaktné bankové karty predstavujú rýchlu a šikovnú možnosť platiť za bežné nákupy. Je nevyhnutné, aby ste svoju kartu prehodili na POS automat, aby ste mohli zaplatiť bezkontaktný poplatok.

Malé množstvá je možné nabíjať rýchlo a jednoducho na doraz, a hracie karty sú považované za bezpečné, pretože na debetovanie obrovských súm je potrebný bezpečnostný kód.

Väčšina z týchto transakcií je primárne založená na bežnom EMV, čo platí pre over 9 miliardy hracích kariet po celom svete. Aj keď odvtedy bola niekoľkokrát revidovaná, pokročilý algoritmus má množstvo zraniteľností, ktoré možno zneužiť.

S rôznymi bezpečnostnými orgánmi už zisťujú chyby v obvyklých, vedci na ETH Zürich teraz predstavili ďalšie, ťažká bezpečnostná medzera.

Ako predbežný krok, Profesor bezpečnosti údajov David Basin spolupracoval s Ralfom Sasseom, vedúci výskumník v rámci divízie vedy o notebookoch, a Jorge Toro Pozo, postdoktorand v Basinovom zhromaždení, navrhnúť účelovú figurínu, aby mohli preskúmať centrálne časti bežného EMV. Objavili životne dôležitú dieru v protokole používanom bankovou kartou Visa.

Táto zraniteľnosť umožňuje podvodníkom získať finančné prostriedky z hracích kariet, ktoré boli nesprávne umiestnené alebo ukradnuté, hoci množstvá sú údajne overené zadaním PIN kódu.

Táto zraniteľnosť umožňuje podvodníkom hromadiť veci z hracích kariet, ktoré boli nesprávne umiestnené alebo ukradnuté, bez ohľadu na to, že množstvá je potrebné akreditovať zadaním PIN kódu. Toro to kladie zásadne: „Všetkým očakávaniam a funkciám, PIN kód je tu neúčinný.“

Rôzne korporácie, podobne ako Mastercard, Americký špecifikum, a JCB, nepoužívajte rovnaký vízový protokol, takže tieto hracie karty nebudú ovplyvnené bezpečnostnou medzerou. Napriek tomu, chyba sa môže týkať hracích kariet vydaných spoločnosťami Uncover a UnionPay, ktoré používajú protokol podobný protokolu Visa.

Analytici mali možnosť ukázať, že je možné využiť túto zraniteľnosť, bez ohľadu na to, že ide o skutočne nepredvídateľný cyklus. Spočiatku vytvorili softvér pre Android a vložili ho do dvoch mobilných telefónov s podporou NFC. Toto umožnilo 2 jednotiek na prezeranie údajov z kreditnou kartou čipové a obchodné informácie s poplatkovými terminálmi. Nečakane, Analytici nemuseli obísť žiadne konkrétne bezpečnostné funkcie v rámci pracovného rámca Android, aby mohli vložiť do aplikácie.

Prvý mobilný telefón sa používa na skenovanie veľmi dôležitých údajov z platobnej karty a ich prenos do druhého mobilného telefónu na získanie neschválených prostriedkov z bankovej karty tretej strany.. Na odpočítanie množstva na pokladni sa potom použije nasledujúci mobilný telefón, rovnaký počet držiteľov kariet robí v poslednej dobe. Keďže žiadosť deklaruje, že kupujúci je osobou schválenou bankovou kartou, predajca nevníma, že transakcia je podvodná. Kľúčovým problémom je, že aplikácia vymanévruje bezpečnostný systém lepenky. Hoci suma presahuje obmedzenie a vyžaduje potvrdenie PIN, nevyžaduje sa žiadny kód.

Využívanie ich bankových kariet pri rôznych faktoroch predaja, výskumníci boli schopní prezentovať, že podvodná schéma funguje.

hovorí Toro, "Okrádanie funguje s debetnými a bankovými kartami vydanými v niekoľkých krajinách v rôznych menách."

Vedci už Visu na túto zraniteľnosť upozornili, v rovnakom čase navrhne vybranú odpoveď.

Prehliadka vysvetľuje, „V protokole je potrebné vykonať tri úpravy, ktoré potom môžu byť vložené do poplatkových terminálov s následnou výmenou softvérového programu. Dá sa veľmi dobre vykonať s minimálnym úsilím. Neexistuje nič také ako túžba vymeniť si hracie karty, a všetky úpravy sa prispôsobia bežnej EMV.“

Odkaz na časopis:

1. Basin a kol. Zvyk EMV: Prestávka, Oprava, Potvrďte. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249