Élmuwan kapanggih cacat dina sistem kaamanan sababaraha kartu kiridit

Kartu Bank Hubungan mangrupikeun pilihan anu gancang sareng gunana pikeun mayar dina pameseran rutin. Éta Husus Carvet Kartu anjeun dina mesin POS kanggo ngadamel biaya anu henteu kontak.

Jumlah leutik tiasa dituduh gancang sareng kantun dina dugi ka, sareng kartu maén panginten aman salaku hasil tina kode kaamanan anu diperyogikeun pikeun debit.

Kaseueuran transaksi éta utamina dumasar kana edv biasa, anu manglaku 9 miliar maén kartu di sakuliah dunya. Padahal parantos dirévisi sababaraha kaayaan saprak harita, Algoritma canggih ngagaduhan sajumlah kerentanan anu tiasa dieksploitasi.

Kalawan otoritas kaamanan béda geus manggihan kasalahan dina biasa, élmuwan di ETH Zurich ayeuna geus diwanohkeun salajengna, loophole kaamanan parna.

Salaku léngkah awal, Professor of Data Kasalametan David Basin gawé bareng jeung Ralf Sasse, panalungtik senior dina Divisi Élmu Laptop, jeung Jorge Toro Pozo, a postdoc di gathering Basin urang, pikeun ngarancang mannequin anu didamel khusus supados tiasa mariksa bagian tengah EMV biasa. Aranjeunna mendakan liang penting dina protokol anu dianggo ku perusahaan kartu bank Visa.

Kerentanan ieu ngamungkinkeun para penipu kéngingkeun dana tina kartu maén anu salah tempat atanapi dipaling, sanajan jumlahna disangka bakal divalidasi ku cara ngasupkeun kodeu PIN.

Keses kerentanan ieu, paduli yén kuantitas kedah discredited ku asup kana kode pin. Taro tempat sacara umum: "Ka sadaya ekspektasi sareng fungsi, Kodeu PIN henteu resmi di dieu. "

Béda perusahaan, mirip sareng MasterCard, Amérika Spésifik, sareng JCB, Entong nganggo protokol visa idéntik, Janten kartu maén ieu moal kapangaruhan ku Loophole Kasalametan. Mangkaning, Secat tiasa dilarapkeun kana kartu maén anu dikaluarkeun ku pendiri sareng unionpay, anu nganggo protokol langkung sapertos visa.

Analis ngagaduhan pilihan pikeun nunjukkeun yén éta henteu tiasa ngamangpaatkeun kerentanan, paduli yén éta mangrupikeun siklus anu teu jelas. Aranjeunna mimitina diwangun deui software Android sareng nempatkeun éta dina dua telepon sélulér anu diaktipkeun. Ieu diijinkeun 2 Unit pikeun ningkatkeun data tina kartu kiridit chip sareng inpormasi dagang kalayan terminal biaya. Teu disangka, Analis henteu kedah sidesep naon waé fitur kaamanan khusus dina framewor hadir sareng ngadamel aplikasi.

Telepon sélulér munggaran dianggo pikeun nyeken data anu penting pisan tina kartu biaya sareng nransfer ka telepon sélulér kadua kanggo kéngingkeun dana anu henteu disatujuan. Telepon sélulér ieu teras dianggo pikeun debit kuantitas dina kasir, Rupa-rupa anu idéntik tina dobel. Salaku ngalamar nyatakeun yén toko mangrupikeun jalma anu disatujuan kartu bank, Penjual henteu terang yén transaksi éta curang. Masalah Pivotal nyaéta aplikasi aplikasi anu henteu dianggo sistem kaamanan karya. Sanaos jumlahna langkung ngawatesan sareng peryogi pengabutuh PIN, Henteu aya kode anu dipénta.

Ngagunakeun kartu bank di faktor variabel jual, Panaliti parantos sanggup nampilkeun yén skéma panipuan damel.

Toro nyarios, "Karya rentang sareng kartu debit sareng bank anu dikaluarkeun dina sababaraha bangsa dina mata uang variatif."

Élmuwan parantos waspada visa pikeun kerentanan, Dina waktos anu idéntik ngajukeun jawaban anu dipilih.

Wisata ngajelaskeun puluh, "Tilu pangaluyuan kedah dilakukeun pikeun protokol, anu tiasa teras dipasang dina jero biaya anu terminal sareng program software anu salajengna ngagentos. Éta tiasa pisan dieksekusi sareng usaha minimal. Teu aya hal sapertos anu hoyong cerekang kartu maén, sareng sadaya pangaluyuan nyaluyukeun ka luar emv. "

Revero jurnal:

1. Baskin et al. EMV adat: Istirahat, Ngalereskeun, Mastikeun. Arxiv:2006.08249 [cs.cr] Arxiv.org/abs/2006.08249