iGuRu
Now Reading
VISA μοιράζει χρήματα χωρίς PIN
iGuRu

VISA μοιράζει χρήματα χωρίς PIN

Μια ομάδα ακαδημαϊκών από την Ελβετία ανακάλυψε ένα σφάλμαπου μπορεί να χρησιμοποιηθεί για να παρακάμψει τους κωδικούς PIN στις ανέπαφες πληρωμές της Visa.

Αυτό σημαίνει ότι αν οι απατεώνες έχουν στα χέρια τους μια κλεμμένη κάρτα Visa, μπορούν να τη χρησιμοποιήσουν για να πληρώσουν ακριβά προϊόντα, και πάνω από το όριο των συναλλαγών χωρίς να χρειάζεται να εισάγουν τον κωδικό PIN της κάρτας.Visa logo.svg - VISA μοιράζει χρήματα χωρίς PIN

Σύμφωνα με την ερευνητική ομάδα, μια επιτυχημένη επίθεση χρειάζεται τέσσερα στοιχεία: (1 + 2) δύο smartphone Android, (3) μια ειδική εφαρμογή Android που αναπτύχθηκε από την ερευνητική ομάδα και (4) μια κάρτα ανέπαφων συναλλαγών Visa.

Η εφαρμογή Android είναι εγκατεστημένη και στα δύο smartphone, τα οποία θα λειτουργούν ως εξομοιωτής καρτών και POS (Point-Of-Sale).
visa contactless attack - VISA μοιράζει χρήματα χωρίς PIN

Το τηλέφωνο που μιμείται μια συσκευή POS βρίσκεται κοντά στην κλεμμένη κάρτα, ενώ το smartphone που λειτουργεί σαν εξομοιωτής της κάρτας χρησιμοποιείται για την πληρωμή αγαθών.

Η όλη ιδέα πίσω από την επίθεση είναι ότι ο εξομοιωτής POS ζητά από την κάρτα να πραγματοποιήσει μια πληρωμή και στη συνέχεια στέλνει τροποποιημένα τα δεδομένα μέσω WiFi στο δεύτερο smartphone που κάνει την πληρωμή χωρίς να χρειάζεται να δώσει PIN (αφού ο εισβολέας έχει τροποποιήσει τα δεδομένα της συναλλαγής για να πει ότι δεν απαιτείται PIN).

“Η εφαρμογή μας δεν απαιτεί δικαιώματα root ή άλλα hacks στο Android και την έχουμε χρησιμοποιήσει με επιτυχία σε συσκευές Pixel και Huawei”, ανέφεραν οι ερευνητές.

Σε τεχνικό επίπεδο, οι ερευνητές ανέφεραν ότι η επίθεση είναι δυνατή λόγω ενός σχεδιαστικού ελαττώματος στο πρότυπο EMV και στο πρωτόκολλο για ανέπαφες πληρωμές της Visa.

Αυτά τα ζητήματα επιτρέπουν σε έναν εισβολέα να αλλάξει τα δεδομένα που εμπλέκονται σε μια ανέπαφη πληρωμή, μαζί με τα πεδία που ελέγχουν τα στοιχεία της συναλλαγής και εάν έχει επαληθευτεί ο κάτοχος της κάρτας η όχι.

“Η μέθοδος επαλήθευσης του κατόχου της κάρτας που χρησιμοποιείται σε μια συναλλαγή, δεν είναι ούτε επικυρωμένη ούτε κρυπτογραφημένη και δεν προστατεύεται από τροποποιήσεις”, ανέφεραν οι ερευνητές.

Περισσότερα: https://arxiv.org/pdf/2006.08249.pdf

 

Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News

View Comments (0)

Leave a Reply

Your email address will not be published.

 

iGuRu.gr © 2012 - 2021 Keep it Simple Stupid Custom Theme

Scroll To Top