Rést találtak az érintés nélküli fizetéshez használt EMV szabványon
2020 / 10 / 16 / perei.dora
Rést találtak az érintés nélküli fizetéshez használt EMV szabványon
A hibát az ETH Zürich munkatársai fedezték fel az érintés nélküli fizetéshez használt EMV (Europay, Mastercard, Visa) szabványban.

Az érintés nélküli fizetés népszerűsége hosszú ideje növekszik, a koronavírus-járvány megjelenése óta pedig még inkább elterjedt. Nem is csoda, hiszen ezáltal gyorsan és egészségügyi kockázat nélkül intézhetjük a bevásárlást, a rendszer ugyanakkor nagyobb összegekhez már biztonsági kódot kér. A tranzakciók világszerte körülbelül kilencmilliárd kártyát érintenek, többségük pedig a még az 1990-es években kidolgozott, azóta többször megújított EMV-szabványon alapul. Természetesen nem ez az első támadási felület, amit a biztonsági szakértők beazonosítottak, az ETH kutatói most csupán hozzáadtak egyet a hibákhoz.
A Visa által használt protokoll kritikus pontja

hatástalanítja a PIN-kódot nagyobb összegű vásárlásnál, pedig ilyen esetekben elvileg kötelező bepötyögni.

Ennek következtében a csalók súlyosan visszaélhetnek az elveszett vagy ellopott kártyákkal, és pénzt emelhetnek le a tulajdonos számlájáról. (A más protokollal működő kártyákat, többek között a Mastercardot és az American Express-t nem fenyegeti ez a veszély, a Visához hasonlóan működő Discovert és Union-Pay-t viszont igen.)

Így leplezték le a hibát

Hogy leteszteljék a kártyák sérülékenységét, a kutatók kifejlesztettek egy androidos appot, és telepítettek két NFC-s szabványt, ami biztosítja a készülékek között rövid hatótávú kommunikációt. A telepítéshez az Android egyik biztonsági funkcióját sem kellett kijátszani vagy hatástalanítani. Az NFC-t kihasználva, mindkettő leolvassa a kártya chipjén található adatokat, és információt cserél a fizetésterminállal. Az első készülék betáplálja a szükséges kártyaadatokat, majd továbbítja azokat a másodiknak. A második pedig fizetéskor PIN-kód kérése nélkül leemeli az összeget a számláról.

Az applikáció elismeri, hogy a vásárló a kártya engedélyezett használója, vagyis az eladó nem szerez tudomást a csalásról.

Az alkalmazás kijátssza a kártya mögötti biztonsági rendszert, és bár a végösszeg meghaladja a limitet, így PIN-kód kellene hozzá, mégsem kérik. Némi vigaszt jelent, hogy a trükk egyelőre bonyolult folyamat, plusz a kutatók már értesítették a Visát, és javaslatokat is tettek a megoldásra: szerintük a protokoll három helyen igényel változtatást, és a következő szoftverfrissítésnél, ezek már beintegrálhatóak lehetnek a fizetésterminálba.

A jövő a készpénzmentes fizetésé

A koronavírus-járvány világszerte jelentős hatással van a társadalomra és a gazdaságra, így a pénzforgalom lebonyolítására is. A McKinsey idei első jelentése szerint a globális kifizetések a pandémiának köszönhetően a teljes bevétel nyolc-tíz százalékával visszaeshetnek, később aztán kiderült, hogy ehhez képest tíz-tizenegy százalékos bevételcsökkentés történt a 2008-as pénzügyi összeomlás után. A világjárvány a fogyasztói hozzáállást is megváltoztatta, amik valószínűleg a jövőben is megmaradnak, lendületet adva az érintés nélküli fizetésnek. Februárban, még mielőtt az Egészségügyi Világszervezet kihirdette a vírushelyzetet, a UK Finance azt jósolta, hogy

az Egyesült Királyság gyakorlatilag készpénzmentes lesz a következő évtizedben – amit valószínűleg a jelenlegi helyzet felgyorsít.

Márciusban a WHO javaslatot tett a kontaktmentes technológiák világszintű használatára a betegség terjedésének megakadályozására. Azóta a kiskereskedők ódzkodnak a készpénzfizetéstől, és rendszeresen figyelmeztetik vásárlóikat a bankkártya használatára. Míg Kína a világjárvány közepette elindította szuverén digitális valutáját, az eRMB-t, így a készpénzhasználat még tovább csökkent.

Érintésmentes fizetés

Bár a világ más részein még nem ennyire előrehaladott a dolog, ettől függetlenül  egyre több helyen fizethetünk érintésmentesen. A PIN-kód nélküli fizetések értékhatára a Covid-19 kitörés eredményeként az egész világon megemelkedett:  az Egyesült Királyságban negyvenöt fontra, az Európai Unió országaiban ötven euróra (Magyarországon tizenötezer forintra), Kanadában pedig kétszázötven dollárra, lehetővé téve a fogyasztók számára, hogy magasabb összegű kifizetést végezzenek anélkül a PIN-kód beütése nélkül. Ugyanakkor a világjárványt követően

az összes fizetésnek, értékétől függetlenül, érintésmentesnek kellene lennie a fogyasztók védelme érdekében.

Noha a “contactless” a leggyakrabban elérhető érintésmentes fizetési lehetőség, hiányzik a hozzáadott biztonság és hitelesítés. Ahogy az erős ügyfél-hitelesítés (SCA) fontossága egyre növekszik, a fizetési módoknak kétlépcsős hitelesítésűnek, valamint kényelmesnek és higiénikusnak kell lennie. A PIN-kódok azonban egyre megbízhatatlannak bizonyulnak, a PIN-padek pedig egészségügyileg kockázatosak, a fogyasztók most a fizetés során egészségi állapotuk, valamint az érintés nélküli banki csalások miatt is aggódhatnak. A fogyasztóknak, különösen akik óvatosak a PIN-kód nélküli tranzakciók során bekövetkező lehetséges csalásokkal, nagyobb biztonsági szintre lehet szükségük a contactless fizetésekkel kapcsolatos bizalmi problémák megoldásához. Míg az aláírás hamisítható, a PIN-kód vagy online fiók feltörhető, az ujjlenyomatot gyakorlatilag lehetetlen replikálni. Ezért a csalásokkal kapcsolatos bizonytalanság megoldása érdekében a fizetési ágazatnak biometrikus ujjlenyomat-engedélyt kellene elfogadnia a nagyobb biztonság és a fogyasztók védelme érdekében.

(Fotó: Unsplash/Mika_Baumeister, Rupixen)

Ha tetszett ez a cikk, kövess minket a Facebookon is!


Először vagy itt? Ez itt a Rakéta!
Olvasd el főszerkesztőnk beköszönőjét, mire számíthatsz tőlünk!
Rakéta az Instagramon is!
Kövesd be, később jól jársz majd!
Ezek is érdekelhetnek

Hírlevél feliratkozás

Ne maradj le a jövőről! Iratkozz fel a hírlevelünkre, és minden héten elküldjük neked a legfrissebb és legérdekesebb híreket a technológia és a tudomány világából.