القائمة الرئيسية

الصفحات

أخبار

إحذر من ثغرة جديدة تتيح استخدام بطاقة ائتمانية بدون رمز PIN

في كل مرة نقوم فيها بالدفع باستخدام بطاقات الائتمان، يتم استخدام بروتوكول الاتصال EMV لمعالجة المدفوعات، الذي تم تطويره بواسطة يوروباي و ماستركارد و فيزا، ويتم استخدامه اليوم في أكثر من 9 مليارات بطاقة على مستوى العالم.
ولأن مبدأ لاشيء آمن ينطبق على الجميع في مجال الأمن السيبراني، مؤخرًا اكتشف ثلاث باحثين هم David Basin و Ralf Sasse و Jorge Toro-Pozo من قسم علوم الكمبيوتر في ETH Zurich ثغرات أمنية في البروتوكول والتي من شأنها أن تسمح للمهاجم بإجراء هجوم مايعرف برجل في المنتصف للانخراط في معاملات احتيالية.


بإستخدام نموذج يحاكي موقف واقعي يشمل آلة التاجر وبطاقة المستخدم والبنك؛ تمكن الباحثون من العثور على ثغرتين رئيسيتين، أولاً قاموا بتطوير تطبيق اندرويد مصمم لتجاوز التحقق من رقم التعريف الشخصي والذي سيستخدم لإجراء مدفوعات "بدون أي تماس" سيسمح للمهاجم بالمرور دون استخدام أي رمز PIN .
والسبب في إمكانية ذلك هو عدم وجود المصادقة والتشفير المستخدم في طريقة التحقق من حامل البطاقة مما يتيح للمهاجم تعديل الإعدادات لتناسب احتياجاته، وعلى سبيل المثال قام الباحثون أيضًا بإجراء صفقة بنجاح بقيمة 190 دولارًا للاختبار في متجر حقيقي باستخدام بطاقاتهم الخاصة.
تسمح الثغرة الثانية للمهاجم بخداع التاجر ليعتقد أن معاملة غير متصلة بالإنترنت قد نجحت على الفور ولكن تم الكشف لاحقًا عن رفضها. أوضح الباحثون في تقريرهم أن:
في معاملة غير متصلة بالإنترنت باستخدام بطاقة فيزا أو ماستركارد قديمة ، لا تصادق البطاقة على الجهاز الطرفي Application Cryptogram (AC) ، وهو دليل تشفير منتَج بالبطاقة للمعاملة التي لا يمكن للجهاز التحقق منها (فقط مصدر البطاقة يمكنه ذلك).
يتيح ذلك للمجرمين خداع الجهاز لقبول معاملة غير موثوقة دون اتصال بالإنترنت، في وقت لاحق عندما يقدم المشتري بيانات المعاملة كجزء من سجل المقصوصة ، سيكتشف البنك المُصدِر برنامج التشفير الخاطئ ، لكن المجرم يكون عندئذ قد اختفى.
هذا على الرغم من عدم اختباره في المتاجر الحقيقية بسبب مخاوف واضحة،
ويمكن إصلاح هاتين الثغرتين من خلال التحديث المباشر للأنظمة الطرفية على مستوى العالم، ونظرًا لوجود ما يقرب من 161 مليون من هذه المحطات الطرفية حول العالم والكثير منها في البلدان المتخلفة، فقد يستغرق التحديث وقتًا طويلاً وهو ما سيمنح جهات التهديد فرصة الاستفادة منها.
reaction:

تعليقات