iVIGA குழாய் தொழிற்சாலை சப்ளையர்
சில வங்கி அட்டைகளின் பாதுகாப்பு அமைப்பில் ஒரு குறைபாட்டை விஞ்ஞானிகள் கண்டறிந்துள்ளனர்
காண்டாக்ட்லெஸ் பேங்க் கார்டுகள், வழக்கமான வாங்குதல்களுக்கு பணம் செலுத்துவதற்கான விரைவான மற்றும் எளிதான விருப்பமாகும். காண்டாக்ட்லெஸ் கட்டணத்தைச் செலுத்த, உங்கள் கார்டை பிஓஎஸ் இயந்திரத்தில் பொருத்துவது அவசியம்.
சிறிய அளவுகள் விரைவாகவும் எளிமையாகவும் கட்டணம் விதிக்கப்படலாம், மற்றும் பெரிய தொகைகளை டெபிட் செய்ய ஒரு பாதுகாப்பு குறியீடு தேவைப்படுவதால், விளையாடும் அட்டைகள் பாதுகாப்பானதாக கருதப்படுகின்றன.
அந்த பரிவர்த்தனைகளில் பெரும்பாலானவை முதன்மையாக ஈ.எம்.வி, மேல் பொருந்தும் 9 உலகம் முழுவதும் பில்லியன் விளையாட்டு அட்டைகள். அதன்பிறகு இது பல முறை திருத்தப்பட்டாலும், மேம்பட்ட வழிமுறையானது சுரண்டப்படக்கூடிய பல பாதிப்புகளைக் கொண்டுள்ளது.
வெவ்வேறு பாதுகாப்பு அதிகாரிகள் ஏற்கனவே வழக்கமான பிழைகளைக் கண்டறிந்துள்ளனர், இல் விஞ்ஞானிகள் ETH சூரிச் இப்போது மேலும் அறிமுகப்படுத்தியுள்ளனர், கடுமையான பாதுகாப்பு ஓட்டை.
ஆரம்ப கட்டமாக, தரவு பாதுகாப்பு பேராசிரியர் டேவிட் பேசின் ரால்ஃப் சாஸ்ஸுடன் ஒத்துழைத்தார், லேப்டாப் அறிவியல் பிரிவில் மூத்த ஆராய்ச்சியாளர், மற்றும் ஜார்ஜ் டோரோ போசோ, பேசின் கூட்டத்தில் ஒரு போஸ்ட்டாக், EMV பொது இடத்தின் மையப் பகுதிகளை அவர்கள் ஆய்வு செய்ய ஒரு நோக்கத்திற்காக கட்டப்பட்ட மேனெக்வின் வடிவமைக்க. வங்கி அட்டை நிறுவனமான விசாவால் பயன்படுத்தப்பட்ட ஒரு நெறிமுறையில் ஒரு முக்கிய துளை இருப்பதை அவர்கள் கண்டுபிடித்தனர்.
இந்த பாதிப்பு மோசடி செய்பவர்கள் தவறான இடத்தில் அல்லது திருடப்பட்ட அட்டைகளை விளையாடுவதில் இருந்து நிதி பெற அனுமதிக்கிறது, PIN குறியீட்டைப் பெறுவதன் மூலம் அளவுகள் சரிபார்க்கப்பட்டதாகக் கூறப்பட்டாலும்.
இந்த பாதிப்பு மோசடி செய்பவர்களுக்கு தவறான இடத்தில் அல்லது திருடப்பட்ட சீட்டுகளில் இருந்து பொருட்களை குவிக்க அதிகாரம் அளிக்கிறது., PIN குறியீட்டைப் பெறுவதன் மூலம் அளவுகள் அங்கீகரிக்கப்பட வேண்டும் என்பதைப் பொருட்படுத்தாமல். டோரோ அதை முக்கியமாக வைக்கிறது: "எல்லா எதிர்பார்ப்புகளுக்கும் செயல்பாடுகளுக்கும், PIN குறியீடு இங்கே பயனற்றது."
வெவ்வேறு நிறுவனங்கள், மாஸ்டர்கார்டு போன்றது, அமெரிக்க குறிப்பிட்ட, மற்றும் ஜேசிபி, ஒரே மாதிரியான விசா நெறிமுறையைப் பயன்படுத்த வேண்டாம், எனவே இந்த விளையாட்டு அட்டைகள் பாதுகாப்பு ஓட்டையால் பாதிக்கப்படாது. இருந்தாலும், Uncover மற்றும் UnionPay வழங்கும் விளையாட்டு அட்டைகளுக்கு இந்த குறைபாடு பொருந்தும், இது விசாவைப் போன்ற ஒரு நெறிமுறையைப் பயன்படுத்துகிறது.
பின்தொடர்வதில் உள்ள பாதிப்பைப் பயன்படுத்திக் கொள்வது சிந்திக்கத்தக்கது என்பதை வெளிப்படுத்த ஆய்வாளர்களுக்கு விருப்பம் இருந்தது, இது ஒரு உண்மையான கணிக்க முடியாத சுழற்சி என்பதை பொருட்படுத்தாமல். அவர்கள் ஆரம்பத்தில் ஒரு ஆண்ட்ராய்டு மென்பொருளை உருவாக்கி அதில் இரண்டு NFC-இயக்கப்பட்ட செல்போன்களில் வைத்தனர். இது அனுமதித்தது 2 இலிருந்து தரவைப் பார்க்க அலகுகள் கடன் அட்டை கட்டண முனையங்களுடன் சிப் மற்றும் வர்த்தக தகவல். எதிர்பாராமல், பயன்பாட்டில் வைக்க, ஆண்ட்ராய்டு வேலை செய்யும் கட்டமைப்பிற்குள் எந்தவொரு குறிப்பிட்ட பாதுகாப்பு அம்சங்களையும் ஆய்வாளர்கள் புறக்கணிக்க வேண்டியதில்லை..
முதல் செல்லுலார் ஃபோன், காஸ்ட் கார்டில் இருந்து மிக முக்கியமான தரவை ஸ்கேன் செய்து, மூன்றாம் தரப்பு வங்கி அட்டையிலிருந்து அங்கீகரிக்கப்படாத நிதியைப் பெற, இரண்டாவது செல்போனுக்கு மாற்றுவதற்குப் பயன்படுத்தப்படுகிறது.. செக் அவுட்டின் அளவைப் பற்று வைக்க பின்வரும் செல்போன் பயன்படுத்தப்படுகிறது, ஒரே மாதிரியான அட்டைதாரர்கள் தாமதமாகச் செய்கிறார்கள். வாங்குபவர் வங்கி அட்டையின் அங்கீகரிக்கப்பட்ட நபர் என்று விண்ணப்பதாரர் அறிவிக்கிறார், பரிவர்த்தனை மோசடி என்பதை விற்பனையாளர் உணரவில்லை. முக்கிய சிக்கல் என்னவென்றால், பயன்பாடு அட்டையின் பாதுகாப்பு அமைப்பை மீறுகிறது. தொகை வரம்பை மீறியிருந்தாலும், பின் உறுதிப்படுத்தல் தேவைப்படுகிறது, குறியீடு எதுவும் கோரப்படவில்லை.
விற்பனையின் பல்வேறு காரணிகளில் அவர்களின் வங்கி அட்டைகளைப் பயன்படுத்துதல், மோசடி திட்டம் செயல்படும் என்பதை ஆராய்ச்சியாளர்கள் முன்வைக்க முடிந்தது.
டோரோ கூறுகிறார், "பல்வேறு நாணயங்களில் பல நாடுகளில் வழங்கப்பட்ட டெபிட் மற்றும் வங்கி அட்டைகளுடன் ரிப்-ஆஃப் வேலை செய்கிறது."
விஞ்ஞானிகள் ஏற்கனவே விசா பாதிப்பு குறித்து எச்சரித்துள்ளனர், தேர்ந்தெடுக்கப்பட்ட பதிலை முன்மொழிய ஒரே நேரத்தில்.
சுற்றுப்பயணம் விளக்குகிறது, “நெறிமுறையில் மூன்று மாற்றங்கள் செய்யப்பட வேண்டும், இது கட்டண முனையங்களில் அடுத்தடுத்த மென்பொருள் நிரல் மாற்றத்துடன் சேர்க்கப்படலாம். இது குறைந்த முயற்சியில் சிறப்பாக செயல்படுத்தப்படலாம். விளையாடும் அட்டைகளை பரிமாறிக்கொள்ள விரும்புவது போன்ற எதுவும் இல்லை, மற்றும் அனைத்து சரிசெய்தல்களும் EMV பொதுவான இடத்திற்குச் சரிசெய்கின்றன."
ஜர்னல் குறிப்பு:
- பேசின் மற்றும் பலர். EMV வழக்கம்: இடைவேளை, பழுது, உறுதிப்படுத்தவும். arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
