Kredi kartlarında ikinci kez güvenlik açığı tespit edildi

0
14

Kredi: CC0 Public Domain

Geçen yıl ilk kez belirli kredi kartlarında bir güvenlik açığı bulduktan sonra, ETH araştırmacıları artık diğer ödeme kartları için PIN kodlarını aşmanın bir yolunu buldular.

Kredi veya banka kartıyla temassız ödeme yapmak hızlı ve kolaydır ve mevcut pandemi sırasında özellikle yararlı olduğu kanıtlanmıştır. Ek güvenlik için, kullanıcının belirli bir miktarın üzerinde bir PIN kodu girmesi gerekir (genellikle İsviçre’de CHF 80) – en azından teori budur. ETH Zürih’teki Bilgi Güvenliği Grubundaki üç araştırmacının gösterebildiği gibi, bu güvenlik önlemleri belirli kartlarla atlanabilir. Araştırmacılar, kredi kartlarının PIN kodu olmadan nasıl kullanılabileceğini ilk kez 2020 yazında Visa kartlarını kullanarak belgelediler. Ekip şimdi, Mastercard ve Maestro gibi diğer ödeme kartları türleriyle başka bir baypasın mümkün olduğunu açıkladı.

Araştırmacılar tarafından kullanılan yöntemler, saldırganların iki iletişim ortağı (bu durumda kart ve kart terminali) arasında değiş tokuş edilen verileri istismar ettiği “ortadaki adam” ilkesine dayanmaktadır. Bu etkiyi çoğaltmak için araştırmacılar, oluşturdukları bir Android uygulamasını ve iki NFC etkin cep telefonunu kullandılar. Uygulama yanlışlıkla kart terminaline ödemeyi onaylamak için PIN gerekmediğini ve kart sahibinin kimliğinin doğrulandığını bildirdi. Başlangıçta, diğer sağlayıcılar farklı bir protokol kullandığından (veri aktarımını bir protokol yönetir) bu yöntem yalnızca VISA kartlarında çalıştı.

Kredi bilgileri: ETH Zurich

Güvenlik önlemleri akıllıca iki şekilde aşıldı

İlk bakışta, PIN kodu doğrulama adımını atlamanın arkasındaki ikinci fikir basit görünüyor: “Yöntemimiz, terminali bir Mastercard kartının bir VISA kartı olduğunu düşünmeye yönlendiriyor,” diyor Information Security Group’ta çalışan ve bunlardan biri olan Jorge Toro araştırma makalesinin yazarları. Toro, gerçeğin göründüğünden çok daha karmaşık olduğunu ve bunun çalışması için aynı anda iki seans çalışması gerektiğini ekliyor: kart terminali bir VISA işlemi gerçekleştirirken kartın kendisi bir Mastercard işlemi gerçekleştiriyor. Araştırmacılar bu yöntemleri iki Mastercard kredi kartı ve dört farklı banka tarafından verilen iki Maestro banka kartında kullandı.

Araştırmacılar keşiflerini yaptıktan hemen sonra Mastercard’ı bilgilendirdiler. Mastercard tarafından uygulanan savunmaların etkili olduğunu deneysel olarak doğrulayabildiler. Toro, “Bu konuda şirketle çalışmak hem zevkli hem de heyecan vericiydi” diye açıklıyor. Mastercard, ilgili önlemleri güncelledi ve araştırmacılardan ödeme sürecine yine aynı şekilde saldırmayı denemelerini istedi ve bu sefer başarısız oldu. Araştırmacılar, Ağustos’taki USENIX Security ’21 sempozyumunda, yöntemin tam bir özetini içeren makalelerini sunacaklar.

Hata kaynağı olarak EMV standardı

Temassız ödeme kartlarında bulunan güvenlik kusurları, öncelikle bu tür kartlar için geçerli olan uluslararası bir protokol standardı olan EMV’den kaynaklanmaktadır. Bu kurallar dizisi içindeki mantık hatalarını tespit etmek zordur, özellikle de standardın uzunluğu 2.000 sayfadan fazla olduğu düşünüldüğünde. ETH araştırmacıları, proje web sitesinde, süreç insanlar için çok karmaşık olduğundan, bu tür sistemlerin giderek otomatik olarak gözden geçirilmesi gerektiğini vurguluyor.

Alıntı: Kredi kartlarında ikinci kez tespit edilen güvenlik açığı (2021, 23 Şubat) 23 Şubat 2021 tarihinde https://techxplore.com/news/2021-02-flaw-credit-cards.html adresinden alındı

Bu belge telif haklarına tabidir. Özel çalışma veya araştırma amacına yönelik herhangi bir adil işlem dışında, yazılı izin olmadan hiçbir bölümü çoğaltılamaz. İçerik yalnızca bilgi amaçlı sağlanmıştır.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz