కొన్ని క్రెడిట్ కార్డుల భద్రతా వ్యవస్థలో లోపాన్ని శాస్త్రవేత్తలు కనుగొన్నారు

కాంటాక్ట్‌లెస్ బ్యాంక్ కార్డ్‌లు క్రమ పద్ధతిలో కొనుగోళ్లకు చెల్లించడానికి త్వరిత మరియు సులభ ఎంపిక. కాంటాక్ట్‌లెస్ రుసుమును చెల్లించడానికి POS మెషీన్‌లో మీ కార్డ్‌ను అమర్చడం అవసరం.

చిన్న పరిమాణాలు వేగంగా మరియు కేవలం వరకు ఛార్జ్ చేయవచ్చు, మరియు భారీ మొత్తాలను డెబిట్ చేయడానికి భద్రతా కోడ్ అవసరం కాబట్టి ప్లేయింగ్ కార్డ్‌లు సురక్షితంగా భావించబడతాయి.

ఆ లావాదేవీలు చాలా వరకు ప్రధానంగా EMV కామన్‌ప్లేస్‌పై ఆధారపడి ఉంటాయి, పైగా వర్తిస్తుంది 9 ప్రపంచవ్యాప్తంగా బిలియన్ ప్లేయింగ్ కార్డ్‌లు. అప్పటి నుండి ఇది అనేక సందర్భాల్లో సవరించబడినప్పటికీ, అధునాతన అల్గోరిథం దోపిడీకి గురికాగల అనేక దుర్బలత్వాలను కలిగి ఉంది.

వివిధ భద్రతా అధికారులు ఇప్పటికే సాధారణ లోపాలను కనుగొన్నారు, వద్ద శాస్త్రవేత్తలు ETH జూరిచ్ ఇప్పుడు మరింత పరిచయం చేశారు, తీవ్రమైన భద్రతా లొసుగు.

ప్రాథమిక దశగా, డేటా సేఫ్టీ ప్రొఫెసర్ డేవిడ్ బేసిన్ రాల్ఫ్ సాస్సేతో కలిసి పనిచేశారు, ల్యాప్‌టాప్ సైన్స్ విభాగంలో సీనియర్ పరిశోధకుడు, మరియు జార్జ్ టోరో పోజో, బేసిన్ సేకరణలో పోస్ట్‌డాక్, వారు EMV కామన్‌ప్లేస్‌లోని కేంద్ర భాగాలను పరిశీలించడానికి ఉద్దేశ్యంతో నిర్మించిన బొమ్మను రూపొందించడానికి. వారు బ్యాంక్ కార్డ్ సంస్థ వీసా ఉపయోగించే ప్రోటోకాల్‌లో కీలకమైన రంధ్రాన్ని కనుగొన్నారు.

ఈ దుర్బలత్వం మోసగాళ్లు తప్పుగా ఉంచబడిన లేదా దొంగిలించబడిన ప్లే కార్డ్‌ల నుండి నిధులను పొందేందుకు అనుమతిస్తుంది, పిన్ కోడ్‌ని పొందడం ద్వారా పరిమాణాలు ధృవీకరించబడతాయని ఆరోపించబడినప్పటికీ.

ఈ దుర్బలత్వం మోసగాళ్లకు తప్పిపోయిన లేదా దొంగిలించబడిన కార్డ్‌ల నుండి వస్తువులను కూడబెట్టుకోవడానికి అధికారం ఇస్తుంది., పిన్ కోడ్‌ని పొందడం ద్వారా పరిమాణాలు గుర్తింపు పొందాలి. టోరో దీనిని ప్రధానంగా ఉంచుతుంది: “అన్ని అంచనాలు మరియు విధులకు, PIN కోడ్ ఇక్కడ పనికిరాదు."

వివిధ సంస్థలు, మాస్టర్ కార్డ్ మాదిరిగానే, అమెరికన్ స్పెసిఫిక్, మరియు JCB, ఒకే విధమైన వీసా ప్రోటోకాల్‌ని ఉపయోగించవద్దు, కాబట్టి ఈ ప్లేయింగ్ కార్డ్‌లు భద్రతా లొసుగు ద్వారా ప్రభావితం కావు. అయినప్పటికీ, Uncover మరియు UnionPay ద్వారా జారీ చేయబడిన ప్లేయింగ్ కార్డ్‌లకు లోపం వర్తించవచ్చు, వీసా లాగా ప్రోటోకాల్‌ని ఉపయోగిస్తుంది.

అనుసరణలో ఉన్న దుర్బలత్వాన్ని సద్వినియోగం చేసుకోవడం భావ్యమని విశ్లేషకులు ప్రదర్శించే ఎంపికను కలిగి ఉన్నారు, ఇది నిజంగా ఊహించలేని చక్రం. వారు ప్రారంభంలో ఒక ఆండ్రాయిడ్ సాఫ్ట్‌వేర్‌ను రూపొందించారు మరియు రెండు NFC-ప్రారంభించబడిన సెల్ టెలిఫోన్‌లలో ఉంచారు. ఇది అనుమతించింది 2 నుండి డేటాను పరిశీలించడానికి యూనిట్లు క్రెడిట్ కార్డ్ ఫీజు టెర్మినల్స్‌తో చిప్ మరియు వాణిజ్య సమాచారం. అనుకోకుండా, యాప్‌లో ఉంచడానికి విశ్లేషకులు ఆండ్రాయిడ్ వర్కింగ్ ఫ్రేమ్‌వర్క్‌లోని ఏదైనా నిర్దిష్ట భద్రతా లక్షణాలను పక్కదారి పట్టించాల్సిన అవసరం లేదు.

మొదటి సెల్యులార్ ఫోన్ కాస్ట్ కార్డ్ నుండి చాలా ముఖ్యమైన డేటాను స్కాన్ చేయడానికి మరియు థర్డ్-పార్టీ బ్యాంక్ కార్డ్ నుండి ఆమోదించని నిధులను పొందడానికి రెండవ సెల్‌ఫోన్‌కి బదిలీ చేయడానికి ఉపయోగించబడుతుంది.. చెక్అవుట్‌లో పరిమాణాన్ని డెబిట్ చేయడానికి క్రింది సెల్‌ఫోన్ ఉపయోగించబడుతుంది, ఒకే రకమైన కార్డ్ హోల్డర్లు ఆలస్యంగా చేస్తున్నారు. దరఖాస్తుదారుడు షాపర్ బ్యాంక్ కార్డ్ ఆమోదించబడిన వ్యక్తి అని ప్రకటించాడు, లావాదేవీ మోసపూరితమైనదని విక్రేత గ్రహించడు. కీలకమైన సమస్య ఏమిటంటే, యాప్ కార్డ్‌బోర్డ్ భద్రతా వ్యవస్థను అధిగమిస్తుంది. మొత్తం పరిమితిని మించిపోయినప్పటికీ మరియు PIN ధృవీకరణ అవసరం, కోడ్ అభ్యర్థించబడలేదు.

అమ్మకానికి సంబంధించిన వివిధ అంశాలలో వారి బ్యాంక్ కార్డ్‌లను ఉపయోగించడం, మోసం పథకం పనిచేస్తుందని పరిశోధకులు నిరూపించగలిగారు.

టోరో చెప్పారు, "రిప్-ఆఫ్ అనేక దేశాలలో వివిధ కరెన్సీలలో జారీ చేయబడిన డెబిట్ మరియు బ్యాంక్ కార్డులతో పనిచేస్తుంది."

వీసా దుర్బలత్వం గురించి శాస్త్రవేత్తలు ఇప్పటికే అప్రమత్తం చేశారు, ఎంచుకున్న సమాధానాన్ని ప్రతిపాదిస్తున్న ఒకే సమయంలో.

పర్యటన వివరిస్తుంది, “ప్రోటోకాల్‌కు మూడు సర్దుబాట్లు చేయాలి, తరువాతి సాఫ్ట్‌వేర్ ప్రోగ్రామ్ రీప్లేస్‌తో ఫీజు టెర్మినల్స్‌లో ఉంచబడుతుంది. ఇది తక్కువ ప్రయత్నంతో బాగా అమలు చేయబడవచ్చు. ప్లేయింగ్ కార్డ్‌లను పరస్పరం మార్చుకోవాలనుకోవడం వంటివి ఏవీ లేవు, మరియు అన్ని సర్దుబాట్లు EMV కామన్‌ప్లేస్‌కు సర్దుబాటు చేస్తాయి.

జర్నల్ రిఫరెన్స్:

1. బేసిన్ మరియు ఇతరులు. EMV కస్టమరీ: బ్రేక్, మరమ్మత్తు, నిర్ధారించండి. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249