ಕೆಲವು ಕ್ರೆಡಿಟ್ ಕಾರ್ಡ್‌ಗಳ ಭದ್ರತಾ ವ್ಯವಸ್ಥೆಯಲ್ಲಿನ ದೋಷವನ್ನು ವಿಜ್ಞಾನಿಗಳು ಕಂಡುಹಿಡಿದರು

ಸಂಪರ್ಕರಹಿತ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್‌ಗಳು ನಿಯಮಿತ ಖರೀದಿಗಳಿಗೆ ಪಾವತಿಸಲು ತ್ವರಿತ ಮತ್ತು ಸೂಕ್ತ ಆಯ್ಕೆಯಾಗಿದೆ. ಸಂಪರ್ಕರಹಿತ ಶುಲ್ಕವನ್ನು ಮಾಡಲು POS ಯಂತ್ರದಲ್ಲಿ ನಿಮ್ಮ ಕಾರ್ಡ್ ಅನ್ನು ಹಾಕುವುದು ಅತ್ಯಗತ್ಯ.

ಸಣ್ಣ ಪ್ರಮಾಣದಲ್ಲಿ ತ್ವರಿತವಾಗಿ ಮತ್ತು ಸರಳವಾಗಿ ಚಾರ್ಜ್ ಮಾಡಬಹುದು, ಮತ್ತು ದೈತ್ಯ ಮೊತ್ತವನ್ನು ಡೆಬಿಟ್ ಮಾಡಲು ಸುರಕ್ಷತಾ ಕೋಡ್‌ನ ಅಗತ್ಯವಿರುವುದರಿಂದ ಪ್ಲೇಯಿಂಗ್ ಕಾರ್ಡ್‌ಗಳು ಸುರಕ್ಷಿತವೆಂದು ಭಾವಿಸಲಾಗಿದೆ.

ಆ ವಹಿವಾಟುಗಳಲ್ಲಿ ಹೆಚ್ಚಿನವು ಪ್ರಾಥಮಿಕವಾಗಿ EMV ಸಾಮಾನ್ಯ ಸ್ಥಳವನ್ನು ಆಧರಿಸಿವೆ, ಮೇಲೆ ಅನ್ವಯಿಸುತ್ತದೆ 9 ವಿಶ್ವಾದ್ಯಂತ ಬಿಲಿಯನ್ ಪ್ಲೇಯಿಂಗ್ ಕಾರ್ಡ್‌ಗಳು. ಅಂದಿನಿಂದ ಇದು ಹಲವಾರು ಬಾರಿ ಪರಿಷ್ಕರಿಸಲ್ಪಟ್ಟಿದ್ದರೂ ಸಹ, ಸುಧಾರಿತ ಅಲ್ಗಾರಿದಮ್ ದುರ್ಬಳಕೆಯಾಗಬಹುದಾದ ಹಲವಾರು ದುರ್ಬಲತೆಗಳನ್ನು ಹೊಂದಿದೆ.

ವಿವಿಧ ಸುರಕ್ಷತಾ ಅಧಿಕಾರಿಗಳು ಈಗಾಗಲೇ ಸಾಮಾನ್ಯ ದೋಷಗಳನ್ನು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ, ನಲ್ಲಿ ವಿಜ್ಞಾನಿಗಳು ETH ಜ್ಯೂರಿಚ್ ಈಗ ಮತ್ತಷ್ಟು ಪರಿಚಯಿಸಿದ್ದೇವೆ, ತೀವ್ರ ಸುರಕ್ಷತಾ ಲೋಪದೋಷ.

ಪ್ರಾಥಮಿಕ ಹಂತವಾಗಿ, ಡೇಟಾ ಸುರಕ್ಷತೆಯ ಪ್ರೊಫೆಸರ್ ಡೇವಿಡ್ ಬೇಸಿನ್ ರಾಲ್ಫ್ ಸಾಸ್ಸೆ ಅವರೊಂದಿಗೆ ಸಹಕರಿಸಿದರು, ಲ್ಯಾಪ್‌ಟಾಪ್ ಸೈನ್ಸ್ ವಿಭಾಗದ ಹಿರಿಯ ಸಂಶೋಧಕ, ಮತ್ತು ಜಾರ್ಜ್ ಟೊರೊ ಪೊಜೊ, ಬೇಸಿನ್‌ನ ಕೂಟದಲ್ಲಿ ಪೋಸ್ಟ್‌ಡಾಕ್, ಉದ್ದೇಶ-ನಿರ್ಮಿತ ಮನುಷ್ಯಾಕೃತಿಯನ್ನು ವಿನ್ಯಾಸಗೊಳಿಸಲು ಅವರು EMV ಸಾಮಾನ್ಯ ಸ್ಥಳದ ಕೇಂದ್ರ ಭಾಗಗಳನ್ನು ಪರಿಶೀಲಿಸಬಹುದು. ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್ ಸಂಸ್ಥೆ ವೀಸಾ ಬಳಸಿದ ಪ್ರೋಟೋಕಾಲ್‌ನಲ್ಲಿ ಪ್ರಮುಖ ರಂಧ್ರವನ್ನು ಅವರು ಕಂಡುಹಿಡಿದರು.

ಈ ದುರ್ಬಲತೆಯು ವಂಚನೆದಾರರು ತಪ್ಪಾದ ಅಥವಾ ಕದ್ದಿರುವ ಇಸ್ಪೀಟೆಲೆಗಳಿಂದ ಹಣವನ್ನು ಪಡೆಯಲು ಅನುಮತಿಸುತ್ತದೆ, PIN ಕೋಡ್ ಅನ್ನು ಪಡೆಯುವ ಮೂಲಕ ಪ್ರಮಾಣಗಳನ್ನು ಮೌಲ್ಯೀಕರಿಸಲಾಗಿದೆ ಎಂದು ಆರೋಪಿಸಲಾಗಿದೆ.

ಈ ದುರ್ಬಲತೆಯು ವಂಚಕರಿಗೆ ತಪ್ಪಾದ ಅಥವಾ ಕದ್ದಿರುವ ಇಸ್ಪೀಟೆಲೆಗಳಿಂದ ವಸ್ತುಗಳನ್ನು ಸಂಗ್ರಹಿಸಲು ಅಧಿಕಾರ ನೀಡುತ್ತದೆ., ಪಿನ್ ಕೋಡ್‌ಗೆ ಪ್ರವೇಶಿಸುವ ಮೂಲಕ ಪ್ರಮಾಣಗಳು ಮಾನ್ಯತೆ ಪಡೆಯಬೇಕು ಎಂಬುದನ್ನು ಲೆಕ್ಕಿಸದೆ. ಟೊರೊ ಇದನ್ನು ಮುಖ್ಯವಾಗಿ ಇರಿಸುತ್ತದೆ: "ಎಲ್ಲಾ ನಿರೀಕ್ಷೆಗಳು ಮತ್ತು ಕಾರ್ಯಗಳಿಗೆ, ಪಿನ್ ಕೋಡ್ ಇಲ್ಲಿಯೇ ನಿಷ್ಪರಿಣಾಮಕಾರಿಯಾಗಿದೆ.

ವಿವಿಧ ನಿಗಮಗಳು, ಮಾಸ್ಟರ್ ಕಾರ್ಡ್ ಅನ್ನು ಹೋಲುತ್ತದೆ, ಅಮೇರಿಕನ್ ನಿರ್ದಿಷ್ಟ, ಮತ್ತು ಜೆಸಿಬಿ, ಒಂದೇ ರೀತಿಯ ವೀಸಾ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸಬೇಡಿ, ಆದ್ದರಿಂದ ಈ ಪ್ಲೇಯಿಂಗ್ ಕಾರ್ಡ್‌ಗಳು ಸುರಕ್ಷತೆಯ ಲೋಪದೋಷದಿಂದ ಪ್ರಭಾವಿತವಾಗುವುದಿಲ್ಲ. ಅದೇನೇ ಇದ್ದರೂ, ಅನ್‌ಕವರ್ ಮತ್ತು ಯೂನಿಯನ್‌ಪೇ ನೀಡಿದ ಪ್ಲೇಯಿಂಗ್ ಕಾರ್ಡ್‌ಗಳಿಗೆ ದೋಷವು ಅನ್ವಯಿಸಬಹುದು, ಇದು ವೀಸಾದಂತೆಯೇ ಪ್ರೋಟೋಕಾಲ್ ಅನ್ನು ಬಳಸುತ್ತದೆ.

ಅನುಸರಣೆಯಲ್ಲಿನ ದುರ್ಬಲತೆಯ ಲಾಭವನ್ನು ಪಡೆಯಲು ಇದು ಕಲ್ಪಿಸಬಹುದಾದುದನ್ನು ಪ್ರದರ್ಶಿಸಲು ವಿಶ್ಲೇಷಕರು ಆಯ್ಕೆಯನ್ನು ಹೊಂದಿದ್ದರು, ಲೆಕ್ಕಿಸದೆ ಇದು ನಿಜವಾದ ಅನಿರೀಕ್ಷಿತ ಚಕ್ರವಾಗಿದೆ. ಅವರು ಆರಂಭದಲ್ಲಿ Android ಸಾಫ್ಟ್‌ವೇರ್ ಅನ್ನು ನಿರ್ಮಿಸಿದರು ಮತ್ತು ಎರಡು NFC-ಸಕ್ರಿಯಗೊಳಿಸಿದ ಸೆಲ್ ಟೆಲಿಫೋನ್‌ಗಳಲ್ಲಿ ಇರಿಸಿದರು. ಇದು ಅನುಮತಿ ನೀಡಿದೆ 2 ನಿಂದ ಡೇಟಾವನ್ನು ಪರಿಶೀಲಿಸಲು ಘಟಕಗಳು ಕ್ರೆಡಿಟ್ ಕಾರ್ಡ್ ಶುಲ್ಕ ಟರ್ಮಿನಲ್‌ಗಳೊಂದಿಗೆ ಚಿಪ್ ಮತ್ತು ವಾಣಿಜ್ಯ ಮಾಹಿತಿ. ಅನಿರೀಕ್ಷಿತವಾಗಿ, ಅಪ್ಲಿಕೇಶನ್‌ನಲ್ಲಿ ಹಾಕಲು ವಿಶ್ಲೇಷಕರು ಆಂಡ್ರಾಯ್ಡ್ ವರ್ಕಿಂಗ್ ಫ್ರೇಮ್‌ವರ್ಕ್‌ನೊಳಗೆ ಯಾವುದೇ ನಿರ್ದಿಷ್ಟ ಸುರಕ್ಷತಾ ವೈಶಿಷ್ಟ್ಯಗಳನ್ನು ಬದಿಗಿಡಬೇಕಾಗಿಲ್ಲ.

ಮೊದಲ ಸೆಲ್ಯುಲಾರ್ ಫೋನ್ ಅನ್ನು ವೆಚ್ಚ ಕಾರ್ಡ್‌ನಿಂದ ಬಹಳ ಮುಖ್ಯವಾದ ಡೇಟಾವನ್ನು ಸ್ಕ್ಯಾನ್ ಮಾಡಲು ಮತ್ತು ಮೂರನೇ ವ್ಯಕ್ತಿಯ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್‌ನಿಂದ ಅನುಮೋದಿತವಲ್ಲದ ಹಣವನ್ನು ಪಡೆಯಲು ಎರಡನೇ ಸೆಲ್‌ಫೋನ್‌ಗೆ ವರ್ಗಾಯಿಸಲು ಬಳಸಲಾಗುತ್ತದೆ.. ಚೆಕ್‌ಔಟ್‌ನಲ್ಲಿನ ಪ್ರಮಾಣವನ್ನು ಡೆಬಿಟ್ ಮಾಡಲು ಕೆಳಗಿನ ಸೆಲ್‌ಫೋನ್ ಅನ್ನು ನಂತರ ಬಳಸಲಾಗುತ್ತದೆ, ಒಂದೇ ರೀತಿಯ ಕಾರ್ಡುದಾರರು ತಡವಾಗಿ ಮಾಡುತ್ತಾರೆ. ಶಾಪರ್ಸ್ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್‌ನ ಅನುಮೋದಿತ ವ್ಯಕ್ತಿ ಎಂದು ಅರ್ಜಿದಾರರು ಘೋಷಿಸಿದಂತೆ, ವಹಿವಾಟು ವಂಚನೆಯಾಗಿದೆ ಎಂದು ಮಾರಾಟಗಾರನು ಗ್ರಹಿಸುವುದಿಲ್ಲ. ಪ್ರಮುಖ ಸಮಸ್ಯೆಯೆಂದರೆ ಅಪ್ಲಿಕೇಶನ್ ಕಾರ್ಡ್‌ಬೋರ್ಡ್‌ನ ಸುರಕ್ಷತಾ ವ್ಯವಸ್ಥೆಯನ್ನು ಮೀರಿಸುತ್ತದೆ. ಮೊತ್ತವು ನಿರ್ಬಂಧವನ್ನು ಮೀರಿದೆ ಮತ್ತು PIN ದೃಢೀಕರಣದ ಅಗತ್ಯವಿದೆ, ಯಾವುದೇ ಕೋಡ್ ಅನ್ನು ವಿನಂತಿಸಲಾಗಿಲ್ಲ.

ಮಾರಾಟದ ವಿವಿಧ ಅಂಶಗಳಲ್ಲಿ ಅವರ ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್‌ಗಳನ್ನು ಬಳಸುವುದು, ವಂಚನೆ ಯೋಜನೆಯು ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ ಎಂದು ಸಂಶೋಧಕರು ಪ್ರಸ್ತುತಪಡಿಸಲು ಸಮರ್ಥರಾಗಿದ್ದರು.

ಟೊರೊ ಹೇಳುತ್ತಾರೆ, "ರಿಪ್-ಆಫ್ ವಿವಿಧ ಕರೆನ್ಸಿಗಳಲ್ಲಿ ಹಲವಾರು ರಾಷ್ಟ್ರಗಳಲ್ಲಿ ನೀಡಲಾದ ಡೆಬಿಟ್ ಮತ್ತು ಬ್ಯಾಂಕ್ ಕಾರ್ಡ್‌ಗಳೊಂದಿಗೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತದೆ."

ವಿಜ್ಞಾನಿಗಳು ಈಗಾಗಲೇ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ವೀಸಾವನ್ನು ಎಚ್ಚರಿಸಿದ್ದಾರೆ, ಆಯ್ದ ಉತ್ತರವನ್ನು ಪ್ರಸ್ತಾಪಿಸುವ ಒಂದೇ ಸಮಯದಲ್ಲಿ.

ಪ್ರವಾಸ ವಿವರಿಸುತ್ತದೆ, “ಪ್ರೋಟೋಕಾಲ್‌ಗೆ ಮೂರು ಹೊಂದಾಣಿಕೆಗಳನ್ನು ಮಾಡಬೇಕಾಗಿದೆ, ನಂತರದ ಸಾಫ್ಟ್‌ವೇರ್ ಪ್ರೋಗ್ರಾಂ ಅನ್ನು ಬದಲಿಸುವುದರೊಂದಿಗೆ ಶುಲ್ಕದ ಟರ್ಮಿನಲ್‌ಗಳಲ್ಲಿ ಇದನ್ನು ಹಾಕಬಹುದು. ಇದನ್ನು ಕನಿಷ್ಠ ಪ್ರಯತ್ನದಿಂದ ಉತ್ತಮವಾಗಿ ಕಾರ್ಯಗತಗೊಳಿಸಬಹುದು. ಇಸ್ಪೀಟೆಲೆಗಳನ್ನು ಪರಸ್ಪರ ಬದಲಾಯಿಸಲು ಬಯಸುವಂತಹ ಯಾವುದೇ ವಿಷಯಗಳಿಲ್ಲ, ಮತ್ತು ಎಲ್ಲಾ ಹೊಂದಾಣಿಕೆಗಳು EMV ಸಾಮಾನ್ಯಕ್ಕೆ ಹೊಂದಿಕೊಳ್ಳುತ್ತವೆ.

ಜರ್ನಲ್ ಉಲ್ಲೇಖ:

1. ಬೇಸಿನ್ ಮತ್ತು ಇತರರು. EMV ಕಸ್ಟಮರಿ: ಬ್ರೇಕ್, ದುರಸ್ತಿ, ದೃಢೀಕರಿಸಿ. arXiv:2006.08249 [cs.CR] arxiv.org/abs/2006.08249