Bilim insanları bazı banka kartlarının güvenlik sisteminde bir kusur buldu

Temassız banka kartları, düzenli alışverişlerde ödeme yapmak için hızlı ve kullanışlı bir seçenektir. Temassız ücret ödemek için kartınızı POS makinesine takmanız önemlidir.

Küçük miktarlar, hızlı ve basit bir şekilde şarj edilebilir., ve oyun kartlarının güvenli olduğu düşünülüyor çünkü devasa meblağları tahsil etmek için bir güvenlik kodu gerekiyor.

Bu işlemlerin çoğu temel olarak EMV'nin sıradan uygulamalarına dayanmaktadır., üzeri için geçerli olan 9 dünya çapında milyarlarca oyun kağıdı. O zamandan beri birçok kez revize edilmiş olsa da, Gelişmiş algoritmanın istismar edilebilecek bir takım güvenlik açıkları var.

Farklı güvenlik otoritelerinin halihazırda olağan hatalar keşfetmesi nedeniyle, bilim adamları ETH Zürih şimdi bir tane daha tanıttık, ciddi güvenlik açığı.

Bir ön adım olarak, Veri Güvenliği Profesörü David Basin, Ralf Sasse ile işbirliği yaptı, Dizüstü Bilgisayar Bilimi Bölümü'nde kıdemli bir araştırmacı, ve Jorge Toro Pozo, Basin'in toplantısında bir doktora sonrası araştırmacı, EMV'nin sıradan merkezi kısımlarını inceleyebilmeleri için amaca yönelik yapılmış bir manken tasarlamak. Banka kartı firması Visa tarafından kullanılan bir protokolde hayati bir delik keşfettiler.

Bu güvenlik açığı, dolandırıcıların kaybolan veya çalınan oyun kartlarından para elde etmesine olanak tanıyor, miktarların bir PIN kodu girilerek doğrulandığı iddia edilse de.

Bu güvenlik açığı dolandırıcılara, kaybolan veya çalınan oyun kartlarından eşya toplama yetkisi veriyor, miktarların bir PIN koduna girilerek onaylanması gerekip gerekmediğine bakılmaksızın. Toro bunu esas olarak yerleştiriyor: “Tüm beklentilere ve işlevlere, PIN kodu burada etkisizdir.”

Farklı şirketler, Mastercard'a benzer, Amerika'ya Özel, ve JCB, aynı Visa protokolünü kullanmayın, yani bu oyun kartları güvenlik açığından etkilenmeyecek. yine de, kusur Uncover ve UnionPay tarafından verilen oyun kartları için geçerli olabilir, Visa'nınkine çok benzer bir protokol kullanan.

Analistler, güvenlik açığından yararlanmanın mümkün olduğunu aşağıdaki şekilde gösterme seçeneğine sahipti:, gerçekten öngörülemeyen bir döngü olmasına rağmen. Başlangıçta bir Android yazılımı oluşturdular ve bunu iki NFC özellikli cep telefonuna yerleştirdiler.. Bu izin verdi 2 Verileri incelemek için birimler kredi kartı ücret terminalleri ile çip ve ticaret bilgileri. Beklenmedik bir şekilde, Analistler, uygulamayı eklemek için Android çalışma çerçevesi dahilindeki herhangi bir güvenlik özelliğinden kaçınmak zorunda kalmadı.

İlk cep telefonu, ücret kartındaki çok önemli verileri taramak ve bunu üçüncü taraf bir banka kartından onaylanmamış para almak için ikinci cep telefonuna aktarmak için kullanılır.. Daha sonra aşağıdaki cep telefonu ödeme sırasındaki tutarı borçlandırmak için kullanılır, son zamanlarda kart sahiplerinin yaptığı aynı çeşitlilik. Başvuru sahibinin, alışveriş yapanın banka kartının onaylı kişisi olduğunu beyan etmesi, satıcı işlemin hileli olduğunu algılamıyor. Asıl sorun, uygulamanın kartonun güvenlik sistemini geride bırakmasıdır. Toplam tutarın sınırı aşmasına ve PIN onayı gerektirmesine rağmen, kod istenmiyor.

Banka kartlarını çeşitli satış faktörlerinde kullanmak, araştırmacılar dolandırıcılık planının işe yaradığını gösterebildiler.

Toro diyor, "Soygun, çeşitli ülkelerde çeşitli para birimlerinde verilen banka ve banka kartlarıyla işe yarıyor."

Bilim insanları Visa'yı bu güvenlik açığı konusunda uyardı, aynı anda seçilen bir cevabı önererek.

Tur açıklıyor, “Protokolde üç düzenleme yapılması gerekiyor, daha sonra bir sonraki yazılım değişikliği ile ücret terminallerine yerleştirilebilir. Minimum çabayla çok iyi bir şekilde yürütülebilir. Oyun kartlarını değiştirme isteği diye bir şey yoktur, ve tüm ayarlamalar EMV alışılagelmişine göre ayarlanıyor.”