iVIGA טאַפּ פאַבריק סאַפּלייער
ססיענטיסץ געפונען אַ פלאָ אין די זיכערקייַט סיסטעם פון עטלעכע באַנק קאַרדס
די קאָנטאַקטלעסס באַנק קאַרדס זענען אַ שנעל און האַנטיק אָפּציע צו צאָלן פֿאַר אַ רעגולער פּערטשאַסאַז. עס איז נייטיק צו שטעלן דיין קאָרט אויף אַ POS מאַשין צו מאַכן אַ קאָנטאַקטלעסס אָפּצאָל.
קליין קוואַנטאַטיז זאל זיין באפוילן ראַפּאַדלי און פשוט אויף די ביז, און די פּלייינג קאַרדס זענען געדאַנק פון זיכער ווי אַ רעזולטאַט פון אַ זיכערקייַט קאָד איז פארלאנגט צו דעביט ריז סאַמז.
רובֿ פון די טראַנזאַקשאַנז זענען בפֿרט באזירט אויף די געוויינטלעך EMV, וואָס אַפּלייז צו איבער 9 מיליאַרד פּלייינג קאַרדס ווערלדווייד. כאָטש עס איז ריווייזד אַ נומער פון מאל זינט דעמאָלט, די אַוואַנסירטע אַלגערידאַם האט אַ נומער פון וואַלנעראַביליטיז וואָס קען זיין עקספּלויטאַד.
מיט פאַרשידענע זיכערקייַט אויטאריטעטן שוין דיסקאַווערינג ערראָרס אין די געוויינטלעך, סייאַנטיס בייַ ETH זוריק האב ן איצ ט ארײנגעפיר ט א װײטער, שטרענג זיכערקייַט לופּכאָול.
ווי אַ פּרילימאַנערי שריט, פּראָפעסאָר פון דאַטאַ סאַפעטי David Basin מיטאַרבעט מיט Ralf Sasse, אַ עלטער פאָרשער אין די דיוויזשאַן פון לאַפּטאָפּ וויסנשאַפֿט, און Jorge Toro Pozo, אַ פּאָסטדאָק אין באַסין ס צונויפקום, צו פּלאַן אַ ציל-געבויט מאַנאַקין אַזוי זיי זאלן ונטערזוכן די הויפט טיילן פון די EMV וואָכעדיק. זיי דיסקאַווערד אַ וויטאַל לאָך אין אַ פּראָטאָקאָל געניצט דורך באַנק קאַרטל פירמע וויזאַ.
די וואַלנעראַביליטי אַלאַוז פראָדסטערז צו קריגן געלט פון פּלייינג קאַרדס וואָס זענען מיספּלייסט אָדער סטאָלען, כאָטש די קוואַנטאַטיז זענען אַלעדזשד צו זיין וואַלאַדייטאַד דורך באַקומען אין אַ PIN קאָד.
די וואַלנעראַביליטי ימפּאַוערז פראָדסטערז צו אָנקלייַבן בילאָנגינגז פון פּלייינג קאַרדס וואָס זענען מיספּלייסט אָדער סטאָלען, ראַגאַרדלאַס אַז די קוואַנטאַטיז דאַרף זיין אַקרעדיטיד דורך באַקומען אין אַ PIN קאָד. טאָראָ שטעלט עס דער הויפּט: "צו אַלע עקספּעקטיישאַנז און פאַנגקשאַנז, די PIN קאָד איז יניפעקטיוו רעכט דאָ."
פאַרשידענע קאָרפּעריישאַנז, ענלעך צו מאַסטערקאַרד, אמעריקאנער ספּעציפיש, און JCB, טאָן ניט נוצן די יידעניקאַל וויזאַ פּראָטאָקאָל, אַזוי די פּלייינג קאַרדס וועט נישט זיין אַפעקטאַד דורך די זיכערקייַט לופּכאָול. פונדעסטוועגן, די פלאָ קען צולייגן צו די פּלייינג קאַרדס ארויס דורך Uncover און UnionPay, וואָס נוצן אַ פּראָטאָקאָל פיל ווי וויזאַ.
אַנאַליסץ האָבן די ברירה צו ווייַזן אַז עס איז מעגלעך צו נוצן די וואַלנעראַביליטי אין נאָכפאָלגן, ראַגאַרדלאַס אַז עס איז אַ אמת אַנפּרידיקטאַבאַל ציקל. זיי טכילעס קאַנסטראַקטאַד אַן אַנדרויד ווייכווארג און שטעלן אין עס אויף צוויי NFC-ענייבאַלד צעל פאָנעס. דאָס האָט דערלויבט די 2 וניץ צו לייענען דאַטן פון די קרעדיט קאַרטל שפּאָן און האַנדל אינפֿאָרמאַציע מיט אָפּצאָל טערמינאַלס. אומגעריכט, די אַנאַליס האָבן ניט האָבן צו סיידסטעפּ קיין באַזונדער זיכערקייַט פֿעיִקייטן אין די אַנדרויד אַרבעט פריימווערק צו שטעלן אין די אַפּ.
דער ערשטער סעליאַלער טעלעפאָן איז געניצט צו יבערקוקן די זייער וויכטיק דאַטן פון די קאָסט קאַרטל און אַריבערפירן עס צו די רגע מאָביל טעלעפאָן צו באַקומען אַנאַפּרוווד געלט פון אַ דריט-פּאַרטיי באַנק קאַרטל. די פאלגענדע סעלפאָון איז דעמאָלט געניצט צו דעביט די קוואַנטיטי אויף די ויסשרייַבן, די יידעניקאַל פאַרשיידנקייַט פון קאַרדכאָולדערז טאָן ווי שפּעט. ווי די אַפּלייינג דערקלערט אַז דער קונה איז דער באוויליקט מענטש פון די באַנק קאַרטל, דער טרעגער קען נישט זען אַז די טראַנסאַקטיאָן איז פראָדזשאַלאַנט. די הויפּט פּראָבלעם איז אַז די אַפּ אַוטמאַנוווערז די קאַרדבאָרד ס זיכערקייַט סיסטעם. כאָטש די סומע איז איבער די באַגרענעצן און ריקווייערז PIN אַפערמיישאַן, קיין קאָד איז געבעטן.
ניצן זייער באַנק קאַרדס אין פאַרשידן סיבות פון פאַרקויף, די ריסערטשערז זענען ביכולת צו פאָרשטעלן אַז די שווינדל סכעמע אַרבעט.
טאָראָ זאגט, "די ריפּ-אַוועק אַרבעט מיט דעביט און באַנק קאַרדס ארויס אין עטלעכע לענדער אין וועריד קעראַנסיז."
ססיענטיסץ האָבן שוין אַלערטיד וויזאַ צו די וואַלנעראַביליטי, אויף דער יידעניקאַל צייַט פּראַפּאָוזינג אַ אויסגעקליבן ענטפער.
רייַזע דערקלערט, "דריי אַדזשאַסטמאַנץ דאַרפֿן צו זיין געמאכט צו דעם פּראָטאָקאָל, וואָס קען דעריבער זיין שטעלן אין די אָפּצאָל טערמינאַלס מיט די סאַבסאַקוואַנט ווייכווארג פּראָגראַם פאַרבייַטן. עס קען זייער גוט זיין עקסאַקיוטאַד מיט מינימאַל מי. עס איז ניט אַזאַ זאַך ווי אַ ווילן צו ויסבייַטן די פּלייינג קאַרדס, און אַלע אַדזשאַסטמאַנץ אַדזשאַסטיד צו די געוויינטלעך EMV.
זשורנאַל רעפערענץ:
- באַסין עט על. די EMV קאַסטאַמערי: ברעכן, פאַרריכטן, באַשטעטיקן. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249
