Znanstveniki so odkrili napako v varnostnem sistemu nekaterih kreditnih kartic

Brezstične bančne kartice so hitra in priročna možnost plačevanja rednih nakupov. Za brezkontaktno plačilo je ključnega pomena, da svojo kartico nastavite na POS napravo.

Majhne količine lahko hitro in preprosto zaračunate do, igralne karte pa veljajo za varne, ker je za bremenitev velikanskih zneskov potrebna varnostna koda.

Večina teh transakcij temelji predvsem na običajnem EMV, ki velja za čez 9 milijarde igralnih kart po vsem svetu. Čeprav je bil od takrat večkrat revidiran, napredni algoritem ima številne ranljivosti, ki jih je mogoče izkoristiti.

Z različnimi varnostnimi organi že odkrivajo napake v običajnem, znanstveniki pri ETH Zürich so zdaj uvedli nadaljnjo, huda varnostna vrzel.

Kot predhodni korak, Profesor varnosti podatkov David Basin je sodeloval z Ralfom Sassejem, višji raziskovalec v oddelku za znanost o prenosnih računalnikih, in Jorge Toro Pozo, postdoc v Basin's gatheringu, da bi oblikovali namensko izdelano lutko, da bi lahko pregledali osrednje dele običajnega EMV. Odkrili so pomembno luknjo v protokolu, ki ga uporablja podjetje za bančne kartice Visa.

Ta ranljivost goljufom omogoča pridobivanje sredstev z igralnih kart, ki so bile izgubljene ali ukradene, čeprav naj bi bile količine potrjene z vnosom kode PIN.

Ta ranljivost omogoča goljufom, da kopičijo stvari z igralnih kart, ki so bile izgubljene ali ukradene, ne glede na to, da je treba količine akreditirati z vnosom PIN kode. Toro postavlja predvsem: »Za vsa pričakovanja in funkcije, koda PIN je tukaj neučinkovita.«

Različne korporacije, podobno kot Mastercard, Ameriško specifično, in JCB, ne uporabljajte enakega protokola Visa, tako da varnostna vrzel ne bo vplivala na te igralne karte. Kljub temu, napaka se lahko nanaša na igralne karte, ki jih izdajata Uncover in UnionPay, ki uporabljajo protokol, podoben Visinemu.

Analitiki so imeli možnost dokazati, da je možno izkoristiti ranljivost v nadaljevanju, ne glede na to, da gre za resnično nepredvidljiv cikel. Sprva so izdelali programsko opremo Android in jo namestili na dva mobilna telefona, ki podpirata NFC. To je omogočilo 2 enote za pregled podatkov iz kreditna kartica čip in komercialne informacije s plačilnimi terminali. Nepričakovano, analitikom se ni bilo treba izogniti nobenim posebnim varnostnim funkcijam znotraj delovnega okvira Android, da bi jih vstavili v aplikacijo.

Prvi mobilni telefon se uporablja za skeniranje zelo pomembnih podatkov iz stroškovne kartice in prenos na drugi mobilni telefon za pridobitev neodobrenih sredstev s kartice tretje osebe.. Naslednji mobilni telefon se nato uporabi za bremenitev količine na blagajni, enaka vrsta imetnikov kartic v zadnjem času. Kot prijavitelj izjavlja, da je kupec pooblaščena oseba za bančno kartico, prodajalec ne zazna, da je transakcija goljufiva. Ključna težava je, da aplikacija premaga varnostni sistem kartona. Čeprav vsota presega omejitev in zahteva potrditev PIN-a, koda ni zahtevana.

Uporaba njihovih bančnih kartic pri različnih prodajnih faktorjih, raziskovalci so lahko predstavili, da shema goljufije deluje.

Toro pravi, "Razdelovanje deluje z debetnimi in bančnimi karticami, izdanimi v več državah v različnih valutah."

Znanstveniki so Viso že opozorili na ranljivost, ob istem času predlaga izbrani odgovor.

Tour pojasnjuje, »Protokol je treba narediti tri prilagoditve, ki bi jih nato lahko vložili v plačilne terminale z naknadno zamenjavo programske opreme. Lahko se izvede z minimalnim naporom. Ne obstaja želja po zamenjavi igralnih kart, in vse prilagoditve se prilagodijo običajnemu EMV.”

Referenca revije:

1. Basin et al. Običajni EMV: Zlom, Popravilo, Potrdi. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249