Güvenlik araştırmacısı: Apple Pay, Samsung Pay ve Google Pay’deki kusur hırsızlar için dolandırıcılığı kolaylaştırıyor

0
18

[ad_1]

Positive Technologies uzmanı, toplu taşıma biletleri için ödeme yapmak için kullanılan uygulamalarla bağlantılı güvenlik açığını açıklıyor.

Ekranda mobil ödemeler çevrimiçi alışveriş ve simge müşteri ağı bağlantısı kullanan kadın, m-bankacılık ve çok yönlü kanal

Resim: iStockphoto/ipopba

Bir güvenlik uzmanına göre, eller serbest ödemeler ile bu işlemleri korumak için gereken güvenlik standartları arasındaki denge çok fazla yanlış yöne saptı.

Bu hafta Black Hat Europe 2021’deki bir oturumdaPositive Technologies’de kıdemli bir güvenlik uzmanı olan Timur Yunusov, temassız ödeme uygulamalarındaki kayıp veya çalıntı cep telefonlarını kullanarak dolandırıcılığa yol açabilecek kusurları açıkladı. Yunusov, ödeme ve uygulama güvenliği konusunda uzmanlaşmıştır.

Yunusov’a göre bu dolandırıcılığın anahtarı, metro ve otobüs biletlerini telefonun kilidini açmadan ödeme kolaylığı. ABD, İngiltere, Çin ve Japonya’daki kullanıcılar bir akıllı telefona ödeme kartı ekleyebilir ve bunu bir taşıma kartı olarak etkinleştirebilir.

Yunusov, “Saldırıyı gerçekleştirmek için Samsung Pay ve Apple Pay ile akıllı telefonların bu ülkelerde kayıtlı olması gerekir, ancak kartlar başka herhangi bir bölgede verilebilir.” Dedi. “Çalınan telefonlar her yerde kullanılabilir ve aynısı Google Pay ile de mümkündür.”

Yunusov ve diğer Positive Technologies araştırmacıları, bu yöntemle tek bir işleme ne kadar para harcanabileceğini görmek için bir dizi ödemeyi test etti. 101 poundda durdular. Araştırmacılara göre, telefonun ödeme için Visa kartı kullanması ve Ekspres Transit modunu etkinleştirmesi koşuluyla, “en yeni iPhone modelleri bile bir telefonun pili bitmiş olsa bile herhangi bir PoS terminalinde ödeme yapmamıza izin verdi”.

GÖRMEK: Dijital sürücü ehliyetleri: Güvenmemiz için yeterince güvenli mi?

Positive Technologies, kusur kamuya açıklanmadan önce yazılım üreticileriyle güvenlik riski hakkında bilgi almak için iletişime geçilmesi anlamına gelen sorumlu açıklama ilkelerine bağlıdır. Bir üretici 90 gün içinde yazılı olarak yanıt vermezse, güvenlik araştırmacıları, kötü niyetli kişilerin keşfedilen bir güvenlik açığından yararlanmasına izin verecek bilgileri belirtmeden bulguları yayınlama hakkını saklı tutar.

Positive Technologies, tespit edilen güvenlik açıkları hakkında sırasıyla Mart, Ocak ve Nisan 2021’de Apple, Google ve Samsung’un bilgilendirildiğini belirtti. Positive Technologies’e göre şirketler, sistemlerinde herhangi bir değişiklik yapmayı planlamadıklarını, ancak bulguları ve raporları ödeme sistemleriyle paylaşmak için izin istediklerini söyledi. Güvenlik şirketi ayrıca, araştırmacılarının Visa ve Mastercard teknik uzmanlarıyla temasa geçtiğini ancak yanıt alamadığını söyledi.

Visa kartları en savunmasız olabilir

Yunusov, çevrimdışı veri doğrulama eksikliğinin bu istismara izin verdiğini söyledi. EMVCo özellikleri bu işlemleri kapsamaktadır.

“Tek sorun şu ki MasterCard, Visa ve AMEX gibi büyük şirketlerin NFC ödemeleri hakkında konuştuğumuzda bu standartları izlemesine gerek yok – bu şirketler 2010’ların başında ayrıldı ve şimdi herkes burada istediğini yapıyor” dedi. dedim.

Apple Pay, Google Pay ve Samsung Pay uygulamalarının tümü bu tehdide karşı savunmasızdır. Yunusov’a göre, bir kişinin ödeme için Mastercard veya American Express yerine Visa kartı kullanması arasında bir fark var gibi görünüyor.

“MasterCard, ODA’nın güvenlik mekanizmalarının önemli bir parçası olduğuna karar verdi ve buna bağlı kalacak” dedi. “Bu nedenle, dünya genelinde MC kartlarını kabul eden tüm terminaller ODA’yı gerçekleştirmeli ve başarısız olursa NFC işlemi reddedilmelidir.”

Güvenlik açığı yaratan Yunusov’a göre Visa, bu ODA doğrulamasını tüm satış noktası terminallerinde kullanmıyor. Birmingham Üniversitesi’ndeki araştırmacılar da bu kusuru bir makalede açıkladılar, “Pratik EMV Röle Koruması

Araştırmaya yanıt olarak bir Visa sözcüsü, transit özellikli mobil cüzdanlara bağlanan Visa kartlarının güvenli olduğunu ve temassız dolandırıcılık planlarının çoğunun on yıldan fazla bir süredir laboratuvar ortamlarında çalışıldığını ve geniş ölçekte uygulanmasının pratik olmadığının kanıtlandığını söyledi. gerçek dünya.

Sözcü, “Ödemeleri korumak için birden fazla güvenlik katmanı kullanılıyor ve tüketiciler Visa’nın sıfır sorumluluk garantisinden yararlanıyor” dedi. “Visa, tüm güvenlik tehditlerini ciddiye alıyor ve kart sahiplerini en son gerçek dünya tehditlerinden korumak için ödeme güvenliği yeteneklerini sürekli olarak geliştiriyor.”

Mobil ödeme uygulamalarındaki kusuru düzeltme

Yunusov, telefon üreticilerinin ve ödeme şirketlerinin bu güvenlik açığını gidermek için birlikte çalışması gerektiğini söyledi. Gerçekte, Apple ve Samsung, sorunun ödeme şirketlerinin ürünlerinde olmamasına rağmen, sorumluluğu Visa ve MasterCard’a kaydırdıklarını söyledi.

Yunusov, “Mobil cüzdanlar tatlı bir noktada – bir tarafta onlar (ödeme şirketleri) işlemlerden para kazanıyor ve ürünlerini popülerleştiriyor” dedi. “Diğer taraftan, müşterilere herhangi bir dolandırıcılık olup olmadığını, ödemeye neden izin verdiklerini sormak için veren bankayla iletişime geçmelerini söylüyorlar.”

Yunusov, sorunun çözümünün her işlem için fiyat, işyeri kodu ve telefon durumunu dikkate almak olduğunu söyledi. Süreci şöyle anlattı:

“Ödeme 0,00 ABD Doları ise, telefon kilitlenir ve MM kodu taşıma ise, birisi metroda ödeme yaptığında bu meşru bir işlemdir. Ancak ödeme 100 ABD Doları ise, telefonun kilidi açılmıştır (bu bilgiyi şuradan alabilirsiniz: işlem verileri) ve MM’nin şüpheli olan ‘süpermarketler’ olması, çünkü müşterilerin süpermarketlerde telefonun kilidini açmadan ödeme yapması mümkün olmamalıdır.”

Geliştiricilerin, mobil ödeme uygulamalarının güvenliğini artırmak için şu sorunları çözmelerini önerdi:

  • Apple Pay kimlik doğrulaması ve alan doğrulama ile ilgili sorunlar
  • AAC/ARQC kriptogramlarında karışıklık
  • Toplu taşıma planları için miktar alanı doğrulama eksikliği
  • MCC alan bütünlüğü kontrollerinin olmaması
  • CVM sınırının üzerinde Google Pay ödemeleri

**Makale 15 Kasım 2021’de Visa’dan bir yorumla güncellendi.

Ayrıca bkz.

[ad_2]

Source link

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz