Wanasayansi waligundua kasoro katika mfumo wa usalama wa baadhi ya kadi za mkopo

Kadi za benki bila mawasiliano ni chaguo la haraka na rahisi kulipia ununuzi wa kawaida. Ni muhimu piga kadi yako kwenye mashine ya POS ili ulipe ada ya kielektroniki.

Kiasi kidogo kinaweza kutozwa haraka na kwa urahisi hadi, na kadi za kucheza hufikiriwa kuwa salama kwa sababu ya msimbo wa usalama unahitajika ili kutoa pesa nyingi.

Nyingi ya miamala hiyo kimsingi inategemea eneo la kawaida la EMV, ambayo inatumika kwa juu 9 bilioni za kucheza kadi duniani kote. Ingawa imerekebishwa mara kadhaa tangu wakati huo, algoriti ya hali ya juu ina udhaifu kadhaa ambao unaweza kutumiwa vibaya.

Pamoja na mamlaka mbalimbali za usalama tayari kugundua makosa katika kawaida, wanasayansi katika ETH Zurich sasa wameanzisha zaidi, mwanya mkubwa wa usalama.

Kama hatua ya awali, Profesa wa Usalama wa Data David Basin alishirikiana na Ralf Sasse, mtafiti mkuu ndani ya Kitengo cha Sayansi ya Kompyuta ya Kompyuta, na Jorge Toro Pozo, postdoc katika mkusanyiko wa Bonde, kuunda mannequin iliyojengwa kwa kusudi ili waweze kuchunguza sehemu za kati za eneo la kawaida la EMV. Waligundua shimo muhimu katika itifaki inayotumiwa na kampuni ya kadi ya benki ya Visa.

Athari hii inawaruhusu walaghai kupata pesa kutoka kwa kadi za kucheza ambazo zimepotezwa au kuibiwa., ingawa kiasi kinadaiwa kuthibitishwa kwa kuingia kwenye msimbo wa PIN.

Athari hii huwapa wadanganyifu uwezo wa kukusanya mali kutoka kwa kucheza kadi ambazo zimepotezwa au kuibiwa., bila kujali kwamba kiasi kinahitaji kuidhinishwa kwa kuingia kwenye msimbo wa PIN. Toro anaiweka hasa: "Kwa matarajio na kazi zote, nambari ya siri haifanyi kazi hapa."

Mashirika tofauti, sawa na Mastercard, Maalum ya Marekani, na JCB, usitumie itifaki ya Visa inayofanana, kwa hivyo kadi hizi za kucheza hazitaathiriwa na mwanya wa usalama. Hata hivyo, dosari inaweza kutumika kwa kadi za kucheza zinazotolewa na Uncover na UnionPay, ambayo hutumia itifaki kama vile Visa.

Wachanganuzi walikuwa na chaguo la kuonyesha kwamba inawezekana kuchukua fursa ya athari inayofuatia., bila kujali kwamba ni mzunguko usiotabirika kwa kweli. Hapo awali walitengeneza programu ya Android na kuiweka kwenye simu mbili za rununu zilizowezeshwa na NFC. Hii iliruhusu 2 vitengo vya kusoma data kutoka kwa kadi ya mkopo Chip na maelezo ya biashara na vituo vya ada. Bila kutarajia, wachambuzi hawakulazimika kuepusha vipengele vyovyote vya usalama ndani ya mfumo wa uendeshaji wa Android ili kuweka kwenye programu.

Simu ya kwanza ya rununu hutumika kuchanganua data muhimu sana kutoka kwa kadi ya gharama na kuihamisha hadi kwa simu ya rununu ya pili ili kupata pesa ambazo hazijaidhinishwa kutoka kwa kadi ya benki ya mtu wa tatu.. Simu ifuatayo ya rununu basi hutumika kutoza kiasi kwenye malipo, aina zinazofanana za wamiliki wa kadi kufanya kama ya marehemu. Kama mwombaji anatangaza kuwa muuzaji ndiye mtu aliyeidhinishwa na kadi ya benki, muuzaji haoni kuwa muamala huo ni wa ulaghai. Suala kuu ni kwamba programu inashinda mfumo wa usalama wa kadibodi. Ingawa jumla imevuka kikomo na inahitaji uthibitisho wa PIN, hakuna msimbo unaoombwa.

Kutumia kadi zao za benki katika mambo mbalimbali ya mauzo, watafiti walikuwa na uwezo wa kuwasilisha kwamba mpango wa udanganyifu unafanya kazi.

Toro anasema, "Uporaji hufanya kazi na kadi za benki na benki zinazotolewa katika mataifa kadhaa katika sarafu tofauti."

Wanasayansi tayari wametahadharisha Visa kuhusu uwezekano huo, kwa wakati uleule kupendekeza jibu lililochaguliwa.

Ziara anaeleza, "Marekebisho matatu yanahitaji kufanywa kwa itifaki, ambayo inaweza kisha kuwekwa ndani ya vituo vya ada na programu ya programu inayofuata kuchukua nafasi. Inaweza kutekelezwa kwa bidii kidogo. Hakuna kitu kama kutaka kubadilishana kadi za kucheza, na marekebisho yote yanarekebishwa kwa kawaida ya EMV.

Marejeleo ya Jarida:

1. Bonde et al. Kimila cha EMV: Kuvunja, Rekebisha, Thibitisha. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249