Rést találtak az érintés nélküli fizetéshez használt EMV szabványon

2020 / 10 / 16 / Perei Dóra
Rést találtak az érintés nélküli fizetéshez használt EMV szabványon
A hibát az ETH Zürich munkatársai fedezték fel az érintés nélküli fizetéshez használt EMV (Europay, Mastercard, Visa) szabványban.

Az érintés nélküli fizetés népszerűsége hosszú ideje növekszik, a koronavírus-járvány megjelenése óta pedig még inkább elterjedt. Nem is csoda, hiszen ezáltal gyorsan és egészségügyi kockázat nélkül intézhetjük a bevásárlást, a rendszer ugyanakkor nagyobb összegekhez már biztonsági kódot kér. A tranzakciók világszerte körülbelül kilencmilliárd kártyát érintenek, többségük pedig a még az 1990-es években kidolgozott, azóta többször megújított EMV-szabványon alapul. Természetesen nem ez az első támadási felület, amit a biztonsági szakértők beazonosítottak, az ETH kutatói most csupán hozzáadtak egyet a hibákhoz.
A Visa által használt protokoll kritikus pontja

hatástalanítja a PIN-kódot nagyobb összegű vásárlásnál, pedig ilyen esetekben elvileg kötelező bepötyögni.

Ennek következtében a csalók súlyosan visszaélhetnek az elveszett vagy ellopott kártyákkal, és pénzt emelhetnek le a tulajdonos számlájáról. (A más protokollal működő kártyákat, többek között a Mastercardot és az American Express-t nem fenyegeti ez a veszély, a Visához hasonlóan működő Discovert és Union-Pay-t viszont igen.)

Így leplezték le a hibát

Hogy leteszteljék a kártyák sérülékenységét, a kutatók kifejlesztettek egy androidos appot, és telepítettek két NFC-s szabványt, ami biztosítja a készülékek között rövid hatótávú kommunikációt. A telepítéshez az Android egyik biztonsági funkcióját sem kellett kijátszani vagy hatástalanítani. Az NFC-t kihasználva, mindkettő leolvassa a kártya chipjén található adatokat, és információt cserél a fizetésterminállal. Az első készülék betáplálja a szükséges kártyaadatokat, majd továbbítja azokat a másodiknak. A második pedig fizetéskor PIN-kód kérése nélkül leemeli az összeget a számláról.

Az applikáció elismeri, hogy a vásárló a kártya engedélyezett használója, vagyis az eladó nem szerez tudomást a csalásról.

Az alkalmazás kijátssza a kártya mögötti biztonsági rendszert, és bár a végösszeg meghaladja a limitet, így PIN-kód kellene hozzá, mégsem kérik. Némi vigaszt jelent, hogy a trükk egyelőre bonyolult folyamat, plusz a kutatók már értesítették a Visát, és javaslatokat is tettek a megoldásra: szerintük a protokoll három helyen igényel változtatást, és a következő szoftverfrissítésnél, ezek már beintegrálhatóak lehetnek a fizetésterminálba.

A jövő a készpénzmentes fizetésé

A koronavírus-járvány világszerte jelentős hatással van a társadalomra és a gazdaságra, így a pénzforgalom lebonyolítására is. A McKinsey idei első jelentése szerint a globális kifizetések a pandémiának köszönhetően a teljes bevétel nyolc-tíz százalékával visszaeshetnek, később aztán kiderült, hogy ehhez képest tíz-tizenegy százalékos bevételcsökkentés történt a 2008-as pénzügyi összeomlás után. A világjárvány a fogyasztói hozzáállást is megváltoztatta, amik valószínűleg a jövőben is megmaradnak, lendületet adva az érintés nélküli fizetésnek. Februárban, még mielőtt az Egészségügyi Világszervezet kihirdette a vírushelyzetet, a UK Finance azt jósolta, hogy

az Egyesült Királyság gyakorlatilag készpénzmentes lesz a következő évtizedben – amit valószínűleg a jelenlegi helyzet felgyorsít.

Márciusban a WHO javaslatot tett a kontaktmentes technológiák világszintű használatára a betegség terjedésének megakadályozására. Azóta a kiskereskedők ódzkodnak a készpénzfizetéstől, és rendszeresen figyelmeztetik vásárlóikat a bankkártya használatára. Míg Kína a világjárvány közepette elindította szuverén digitális valutáját, az eRMB-t, így a készpénzhasználat még tovább csökkent.

Érintésmentes fizetés

Bár a világ más részein még nem ennyire előrehaladott a dolog, ettől függetlenül  egyre több helyen fizethetünk érintésmentesen. A PIN-kód nélküli fizetések értékhatára a Covid-19 kitörés eredményeként az egész világon megemelkedett:  az Egyesült Királyságban negyvenöt fontra, az Európai Unió országaiban ötven euróra (Magyarországon tizenötezer forintra), Kanadában pedig kétszázötven dollárra, lehetővé téve a fogyasztók számára, hogy magasabb összegű kifizetést végezzenek anélkül a PIN-kód beütése nélkül. Ugyanakkor a világjárványt követően

az összes fizetésnek, értékétől függetlenül, érintésmentesnek kellene lennie a fogyasztók védelme érdekében.

Noha a “contactless” a leggyakrabban elérhető érintésmentes fizetési lehetőség, hiányzik a hozzáadott biztonság és hitelesítés. Ahogy az erős ügyfél-hitelesítés (SCA) fontossága egyre növekszik, a fizetési módoknak kétlépcsős hitelesítésűnek, valamint kényelmesnek és higiénikusnak kell lennie. A PIN-kódok azonban egyre megbízhatatlannak bizonyulnak, a PIN-padek pedig egészségügyileg kockázatosak, a fogyasztók most a fizetés során egészségi állapotuk, valamint az érintés nélküli banki csalások miatt is aggódhatnak. A fogyasztóknak, különösen akik óvatosak a PIN-kód nélküli tranzakciók során bekövetkező lehetséges csalásokkal, nagyobb biztonsági szintre lehet szükségük a contactless fizetésekkel kapcsolatos bizalmi problémák megoldásához. Míg az aláírás hamisítható, a PIN-kód vagy online fiók feltörhető, az ujjlenyomatot gyakorlatilag lehetetlen replikálni. Ezért a csalásokkal kapcsolatos bizonytalanság megoldása érdekében a fizetési ágazatnak biometrikus ujjlenyomat-engedélyt kellene elfogadnia a nagyobb biztonság és a fogyasztók védelme érdekében.

(Fotó: Unsplash/Mika_Baumeister, Rupixen)


Autót vennél mostanában? Nézz bele a PLAYER AUTÓTESZT ROVATÁBA!
Minden friss és izgalmas autót kipróbálunk, amit csak tudunk, legyen az dízel vagy elektromos, olcsó vagy luxus, kétszemélyes vagy kisbusz!
1 éves ROADSTER előfizetés + Renoir – A Festő és Modelljei kiállítás páros belépőjegy: 12 990 Ft
Válassz egyet a ROADSTER magazin szuper előfizetési ajánlatai közül!
A testen belül lehet három dimenzióban nyomtatni ezzel az ultrahang alapú eljárással
A testen belül lehet három dimenzióban nyomtatni ezzel az ultrahang alapú eljárással
Képzeljünk el egy világot, ahol az implantációk behelyezése, törött csontok kezelése komoly műtéti beavatkozás helyett lényegében annyit jelent, hogy az implantációt befecskendezzük a testbe, ahol az felveszi a szükséges alakot! A mostani fejlesztés épp ezt teszi egyszer lehetővé.
Utánunk gurul a napelem, hogy bárhol energiához jussunk
Utánunk gurul a napelem, hogy bárhol energiához jussunk
A robot elkíséri az embert a túrákra és kiválasztja a legoptimálisabb helyet és pozíciót a minél jobb energiatermeléshez.
HELLO, EZ ITT A
RAKÉTA
Kövess minket a Facebookon!
A jövő legizgalmasabb cikkeit találod nálunk!
Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.



This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.