Furnizuesi i iVIGA Tap Factory
Shkencëtarët gjetën një defekt në sistemin e sigurisë së disa kartave bankare
Kartat bankare pa kontakt janë një opsion i shpejtë dhe i dobishëm për të paguar blerjet e rregullta. Është thelbësore të rubinet kartën tuaj në një makinë POS për të bërë një tarifë pa kontakt.
Sasi të vogla mund të karikohen shpejt dhe thjesht në deri, dhe letrat e lojës mendohen të sigurta si rezultat i një kodi sigurie kërkohet për të debituar shuma gjigante.
Shumica e këtyre transaksioneve bazohen kryesisht në të zakonshmen EMV, që vlen për mbi 9 miliardë letra loje në mbarë botën. Edhe pse është rishikuar disa herë që atëherë, algoritmi i avancuar ka një sërë dobësish që mund të shfrytëzohen.
Me autoritetet e ndryshme të sigurisë që tashmë zbulojnë gabime në të zakonshmen, shkencëtarët në ETH Cyrih tani kanë prezantuar një më tej, zbrazëti e rëndë e sigurisë.
Si hap paraprak, Profesori i Sigurisë së të Dhënave David Basin bashkëpunoi me Ralf Sasse, një studiues i vjetër në Divizionin e Shkencës së Laptopëve, dhe Jorge Toro Pozo, një postdok në mbledhjen e Basin, për të hartuar një manekin të ndërtuar me qëllim në mënyrë që ata të mund të ekzaminojnë pjesët qendrore të EMV të zakonshme. Ata zbuluan një vrimë jetike në një protokoll të përdorur nga firma e kartave bankare Visa.
Kjo dobësi i lejon mashtruesit të marrin fonde nga letrat e lojës që janë vendosur gabim ose janë vjedhur, ndonëse sasitë supozohet se vërtetohen duke hyrë në një kod PIN.
Kjo dobësi i fuqizon mashtruesit të grumbullojnë sende nga letrat e lojës që janë vendosur gabim ose janë vjedhur, pavarësisht se sasitë duhet të akreditohen duke hyrë në një kod PIN. Toro e vendos atë kryesisht: “Për të gjitha pritshmëritë dhe funksionet, kodi PIN është i paefektshëm pikërisht këtu.”
Korporata të ndryshme, të ngjashme me Mastercard, Specifike Amerikane, dhe JCB, mos përdorni protokollin identik të Vizës, kështu që këto letra loje nuk do të ndikohen nga boshllëku i sigurisë. gjithsesi, defekti mund të zbatohet për letrat e lojës të lëshuara nga Uncover dhe UnionPay, të cilat përdorin një protokoll shumë si ai i Visa-s.
Analistët kishin zgjedhjen për të treguar se ishte e imagjinueshme të përfitonin nga cenueshmëria në vijim, pavarësisht se është një cikël vërtet i paparashikueshëm. Fillimisht ata ndërtuan një softuer Android dhe e vendosën në dy telefona celularë me NFC. Kjo e lejoi 2 njësitë për të shqyrtuar të dhënat nga kartë krediti informacion mbi çipin dhe tregtinë me terminalet e tarifave. Në mënyrë të papritur, analistët nuk duhej të anashkalonin ndonjë veçori të veçantë të sigurisë brenda kornizës së punës Android për të vendosur në aplikacion.
Telefoni i parë celular përdoret për të skanuar të dhënat shumë të rëndësishme nga karta e kostos dhe për t'i transferuar ato në celularin e dytë për të marrë fonde të pamiratuara nga një kartë bankare e palës së tretë.. Celulari i mëposhtëm përdoret më pas për të debituar sasinë në arkë, larmia identike e mbajtësve të kartave ka si kohët e fundit. Pasi aplikanti deklaron se blerësi është personi i miratuar i kartës bankare, shitësi nuk e kupton se transaksioni është mashtrues. Çështja kryesore është se aplikacioni tejkalon sistemin e sigurisë së kartonit. Edhe pse shuma është mbi kufizimin dhe kërkon afirmimin e PIN-it, nuk kërkohet asnjë kod.
Përdorimi i kartave të tyre bankare në faktorë të ndryshëm shitjeje, kërkuesit kishin qenë në gjendje të tregonin se skema e mashtrimit funksionon.
thotë Toro, "Rip-off punon me karta debiti dhe bankare të lëshuara në disa vende në monedha të ndryshme."
Shkencëtarët kanë paralajmëruar tashmë Visa për cenueshmërinë, në të njëjtën kohë duke propozuar një përgjigje të zgjedhur.
Turne shpjegon, “Duhet të bëhen tre rregullime në protokoll, të cilat më pas mund të futen brenda terminaleve të tarifave me zëvendësimin e programit të mëpasshëm softuer. Shumë mirë mund të ekzekutohet me përpjekje minimale. Nuk ka gjë të tillë si dëshira për të ndërruar letrat e lojës, dhe të gjitha rregullimet përshtaten me EMV të zakonshme.”
Referenca e ditarit:
- Basin et al. EMV zakonore: Pushim, Riparim, Konfirmo. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
