एक सुरक्षा भेद्यता संपर्क रहित वीज़ा भुगतान के लिए पिन अनुरोध को बायपास करने की अनुमति देती है। ETH ज्यूरिख के शोधकर्ताओं ने एक भेद्यता की खोज की है जिसका उपयोग अपराधी अपने पिन को जाने बिना क्रेडिट कार्ड से भुगतान करने के लिए कर सकते हैं।
ज्यूरिख (ईटीएच ज्यूरिख) में स्विस फेडरल इंस्टीट्यूट ऑफ टेक्नोलॉजी की एक शोध टीम ने क्रेडिट कार्ड प्रदाता वीज़ा से संपर्क रहित भुगतान के लिए ईएमवी प्रोटोकॉल में एक सुरक्षा भेद्यता पाई है जो हमलावरों को पिन अनुरोध को बायपास करने और क्रेडिट कार्ड धोखाधड़ी करने की अनुमति दे सकती है।
संपर्क रहित भुगतान के साथ, सामान या सेवाओं के लिए भुगतान करते समय आमतौर पर एक सीमा होती है। जैसे ही यह पार हो जाता है, कार्ड टर्मिनल कार्डधारक से पिन पुष्टिकरण का अनुरोध करता है। हालांकि, "द ईएमवी स्टैंडर्ड: ब्रेक, फिक्स, वेरिफाई" शीर्षक वाले नए अध्ययन से पता चलता है कि अपराधी पिन दर्ज किए बिना फर्जी खरीदारी करने के लिए एक त्रुटिपूर्ण क्रेडिट कार्ड का उपयोग कर सकते हैं, भले ही राशि सीमा से अधिक हो।
वीजा भुगतान: हमले का प्रदर्शन
वैज्ञानिकों ने दो एंड्रॉइड फोन, एक संपर्क रहित क्रेडिट कार्ड और विशेष रूप से इस उद्देश्य के लिए विकसित एक एंड्रॉइड ऐप का उपयोग करके हमले की व्यवहार्यता का प्रदर्शन किया: "भुगतान टर्मिनल के पास का फोन हमलावर का कार्ड एमुलेटर है, और पीड़ित के क्रेडिट कार्ड के पास का फोन है हमलावर का पीओएस एमुलेटर। हमलावर के उपकरण वाईफाई के माध्यम से और एनएफसी के माध्यम से टर्मिनल और कार्ड के साथ एक दूसरे के साथ संवाद करते हैं, ”शोधकर्ताओं ने समझाया। ऐप को किसी विशेष रूट अनुमति या Android हैक की आवश्यकता नहीं है।
शोध रिपोर्ट में कहा गया है, "हमले में कार्ड के डेटा ऑब्जेक्ट को बदलना शामिल है -" कार्ड ट्रांजैक्शन क्वालिफायर "- इससे पहले कि इसे टर्मिनल पर प्रेषित किया जाए।" यह परिवर्तन टर्मिनल को निर्देश देता है कि किसी पिन सत्यापन की आवश्यकता नहीं है और कार्डधारक को उपभोक्ता के उपकरण द्वारा पहले ही सत्यापित किया जा चुका है।
पिन बाईपास हमला
शोधकर्ताओं ने छह संपर्क रहित ईएमवी प्रोटोकॉल (मास्टरकार्ड, वीजा, अमेरिकन एक्सप्रेस, जेसीबी, डिस्कवर, यूनियनपे) में से एक पर अपने पिन बाईपास हमले का परीक्षण किया। हालांकि, उन्हें संदेह है कि उनका हमला डिस्कवर और यूनियनपे प्रोटोकॉल पर भी काम कर सकता है, हालांकि इन्हें व्यवहार में सत्यापित नहीं किया गया है। EMV, स्मार्ट कार्ड भुगतान के लिए अंतरराष्ट्रीय मानक प्रोटोकॉल, दुनिया भर में 9 बिलियन से अधिक कार्डों द्वारा उपयोग किया जाता है और दिसंबर 2019 तक दुनिया भर में सभी कार्ड लेनदेन के 80% से अधिक में उपयोग किया जाता है।
यह भी ध्यान देने योग्य है कि शोधकर्ताओं ने न केवल प्रयोगशाला स्थितियों में हमले का परीक्षण किया, बल्कि वीज़ा क्रेडिट, वीज़ा इलेक्ट्रॉन और वी-पे कार्ड का उपयोग करके इसे सफलतापूर्वक स्टोर में प्रदर्शित किया। बेशक, उन्होंने परीक्षणों के लिए अपने नक्शे का इस्तेमाल किया।
हमला शायद ही देखा गया हो
शोधकर्ताओं के अनुसार, वीज़ा भुगतान करते समय चेकआउट कर्मचारियों के लिए इन हमलों को नोटिस करना मुश्किल होता है, क्योंकि ग्राहकों के लिए अपने स्मार्टफोन से सामान का भुगतान करना आम बात है। जांच में एक अन्य सुरक्षा भेद्यता का भी खुलासा हुआ। पुराने वीज़ा या मास्टरकार्ड कार्ड के साथ ऑफ़लाइन संपर्क रहित लेनदेन के लिए, वे कार्ड द्वारा उत्पन्न डेटा को बदल सकते हैं, तथाकथित "लेन-देन क्रिप्टोग्राम", इससे पहले कि इसे टर्मिनल पर प्रेषित किया जाए।
हालाँकि, इस डेटा को टर्मिनल द्वारा चेक नहीं किया जा सकता है, लेकिन केवल कार्ड जारीकर्ता, यानी बैंक द्वारा। तब तक अपराधी काफी पहले अपना सामान लेकर गायब हो चुका था। नैतिक कारणों से, इस हमले का अनुसंधान दल द्वारा वास्तविक कार्ड टर्मिनलों पर परीक्षण नहीं किया गया था।
बेशक, टीम ने वीज़ा कंपनी को अपनी खोजों की जानकारी दी।
ESET.com पर WeLiveSecurity ब्लॉग पर अधिक पढ़ें
ईएसईटी के बारे में ESET एक यूरोपीय कंपनी है जिसका मुख्यालय ब्रातिस्लावा (स्लोवाकिया) में है। 1987 से, ईएसईटी पुरस्कार विजेता सुरक्षा सॉफ्टवेयर विकसित कर रहा है जिसने पहले ही 100 मिलियन से अधिक उपयोगकर्ताओं को सुरक्षित तकनीकों का आनंद लेने में मदद की है। सुरक्षा उत्पादों के व्यापक पोर्टफोलियो में सभी प्रमुख प्लेटफॉर्म शामिल हैं और दुनिया भर में व्यवसायों और उपभोक्ताओं को प्रदर्शन और सक्रिय सुरक्षा के बीच सही संतुलन प्रदान करता है। जेना, सैन डिएगो, सिंगापुर और ब्यूनस आयर्स में 180 से अधिक देशों और कार्यालयों में कंपनी का वैश्विक बिक्री नेटवर्क है। अधिक जानकारी के लिए www.eset.de पर जाएं या हमें LinkedIn, Facebook और Twitter पर फ़ॉलो करें।