Salı, Ekim 27, 2020

PIN kodunu zekice aşmak

Kredi kartıyla büyük meblağlar öderken, genellikle ödeme sırasında bir PIN kodu gerekir. ETH araştırmacıları, bazı kredi kartlarının güvenlik sistemlerinde bir kusur keşfettiler.

Temassız ödemeyi mümkün kılan kredi kartları son derece popülerdir. Küçük miktarlar kasada hızlı ve kolay bir şekilde şarj edilebilir ve kartlar güvenli kabul edilir çünkü büyük meblağların borçlandırılması için bir güvenlik kodu gerekir.

Bu işlemlerin çoğu, dünya çapında dokuz milyardan fazla kart için geçerli olan EMV standardına dayanmaktadır. Standart, 1990’larda üç büyük şirket Europay, Mastercard ve Visa (dolayısıyla EMV kısaltması) tarafından geliştirilmiştir. O zamandan beri birkaç kez revize edilmiş olmasına rağmen, karmaşık kurallar kümesinde yararlanılabilecek birkaç güvenlik açığı bulunmaktadır.

Zayıf noktalar için sistematik arama

Diğer güvenlik uzmanları standartta zaten hatalar bulurken, ETH Zürih’teki bilim adamları şimdi ek, ciddi bir güvenlik boşluğu bildirdiler. ETH araştırmacıları, şu anda bir ön baskı olarak mevcut olan bulgularını 2021’de IEEE Güvenlik ve Gizlilik Sempozyumu’nda sunacaklar.

İlk adım olarak, Bilgi Güvenliği Profesörü David Basin, Bilgisayar Bilimleri Bölümü’nde kıdemli bir bilim insanı olan Ralf Sasse ve Basin’s grubunda bir doktora sonrası olan Jorge Toro Pozo’ya, amaca yönelik bir model tasarlamak üzere katıldı. EMV standardının temel unsurlarına bakın. Kredi kartı şirketi Visa tarafından kullanılan bir protokolde kritik bir boşluk keşfettiler .

Bu güvenlik açığı, dolandırıcıların kaybolan veya çalınan kartlardan para almasını sağlar, ancak tutarların bir PIN kodu girilerek doğrulanması gerekir. Toro bunu kısaca şöyle açıklıyor: “Tüm amaç ve amaçlara göre, PIN kodu burada etkisizdir.” Mastercard, American Express ve JCB gibi diğer şirketler Visa ile aynı protokolü kullanmaz, bu nedenle bu kartlar güvenlik açıklarından etkilenmez. Ancak kusur, Discover ve UnionPay tarafından verilen ve Visa’nınkine benzer bir protokol kullanan kartlar için de geçerli olabilir.

Simüle edilmiş yetkilendirme

Araştırmacılar, oldukça karmaşık bir süreç olmasına rağmen, güvenlik açığından pratikte yararlanmanın mümkün olduğunu gösterebildiler. Önce bir Android uygulaması geliştirdiler ve bunu NFC özellikli iki cep telefonuna yüklediler. Bu, iki cihazın kredi kartı çipinden veri okumasına ve ödeme terminalleri ile bilgi alışverişinde bulunmasına izin verdi. Bu arada, araştırmacıların uygulamayı yüklemek için Android işletim sistemindeki herhangi bir özel güvenlik özelliğini atlaması gerekmedi.

Üçüncü şahıs kredi kartından yetkisiz para elde etmek için, birinci cep telefonu kredi kartından gerekli verileri taramak ve ikinci telefona aktarmak için kullanılır. İkinci telefon daha sonra, günümüzde birçok kart sahibinin yaptığı gibi, ödeme sırasında tutarı eşzamanlı olarak çekmek için kullanılır. Uygulama, müşterinin kredi kartının yetkili kullanıcısı olduğunu beyan ettiğinden, satıcı işlemin hileli olduğunun farkına varmaz. Önemli faktör, uygulamanın kartın güvenlik sistemini aşmasıdır. Miktar limitin üzerinde olmasına ve PIN doğrulaması gerektirmesine rağmen herhangi bir kod istenmez.

Başarıyla teste tabi tutuldu

Araştırmacılar, çeşitli satış noktalarında kendi kredi kartlarını kullanarak, dolandırıcılık planının çalıştığını gösterebildiler. Toro, ” Dolandırıcılık , farklı ülkelerde çeşitli para birimlerinde verilen banka ve kredi kartlarında işe yarıyor ,” diyor. Araştırmacılar, Visa’yı güvenlik açığı konusunda uyardılar ve aynı zamanda belirli bir çözüm önerdiler. Toro, “Protokolde üç değişiklik yapılmalı ve bu değişiklik daha sonra bir sonraki yazılım güncellemesiyle ödeme terminallerine kurulabilir” diye açıklıyor. “Minimum çabayla yapılabilir. Kartları değiştirmeye gerek yoktur ve tüm değişiklikler EMV standardına uygundur.”

Bugün En Çok Okunanlar

Google Alışveriş fiyat izleme ve karşılaştırma araçları ekledi

Kullanıcılar ayrıca yerel mağazalar için mağazadan teslim alma ayrıntılarını da bulabilecekler. Google, Black Friday'e giden yolda aldığınız anlaşmanın gerçekten bir anlaşma olup olmadığını bilmenizi sağlayacak alışveriş platformuna araçlar...

WhatsApp sohbetlerden alışveriş yapmanıza imkan sağlayacak

Facebook, işletmelerin ürünlerini doğrudan mesajlaşma uygulamasında satmalarına izin verecek. Facebook, daha fazla insanın WhatsApp'ta alışveriş yapmasını istiyor. Bir güncellemede şirket,...

Netflix 48 saatlik StreamFest ile abonelikleri artırmayı planlıyor

Netflix, yayın hizmetini abone olmayanlar için ücretsiz hale getiren, 4 Aralık'ta başlayacak iki günlük bir etkinlik olan StreamFest'i planlıyor. Etkinlik, Netflix Android uygulamasının...

Google yapay zeka destekli fotoğraf baskı hizmetini yeniden açıyor

Google, yapay zeka tabanlı Fotoğraflar baskı hizmetini geri getirme sözünü yerine getirdi ve bu sefer daha uygun fiyatlı. Yaklaşan premium baskı serisinde bir kez daha makine öğreniminin her...

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen adınızı buraya girin