btbilgi

İsviçre merkezli araştırma kuruluşu İsviçre Federal Teknoloji Enstitüsü’nden (ETH Zurich) bir ekip, Visa’nın temassız ödemelerindeki PIN kodlarını atlamak için kullanılabilecek bir güvenlik hatası keşfetmiş. Siber suçlular çalıntı bir temassız kart ele geçirip, bu açık sayesinde kartın PIN kodunu girmeye gerek kalmadan temassız işlem limitinin üzerinde temassız ödemeler yapabilirler. Ödeme müşterinin akıllı telefonunda yüklü bir mobil/dijital cüzdan uygulaması üzerinden yapılıyor gibi gösteriliyor, ama aslında gizlenmiş çalıntı kredi kartı kullanılıyor.

Ekibin bir bilimsel makalede anlattığı üzere, başarılı bir saldırı için iki Android akıllı telefon, özel bir Android uygulaması ve Visa temassız kart gerekiyor. Ekibin geliştirdiği Android uygulaması iki akıllı telefona yükleniyor. Bir telefon kart emülatörü, diğeri ise bir POS (Satış Noktası) emülatörü olarak çalışacak şekilde konfigüre edilmekte. POS cihazını taklit eden telefon çalınan kartın yakınına konulurken, kart emülatörü olarak çalışan telefon ise ödeme için kullanılıyor.

Ödeme sürecinde POS cihazını taklit eden telefonda işlem ayrıntıları uygulama ile değiştiriliyor ve değiştirilen verileri Wi-Fi bağlantı üzerinden ikinci akıllı telefona gönderiliyor. Değiştirilen verilerde PIN koduna ihtiyaç olmadığı seçeneği mevcut. Böylece kod girmeden çalıntı karttan istenen miktarda ödeme yapılabilmekte. Uygulamanın Android için kök ayrıcalıkları istemediği ve herhangi bir hack işlemi gerektirmediği aktarılmakta. Araştırma ekibi bu uygulamayı Pixel ve Huawei cihazlarında başarıyla çalıştırmışlar.

Araştırmacılar bu saldırıyı gerçek dünyada, gerçek mağazalarda herhangi bir sorunla karşılaşmadan test ettiklerini söylüyorlar. Saldırının Visa Credit, Visa Electron ve VPay kartlarındaki PIN güvenlik kodlarını rahatça atlatabildiği açıklanıyor.

Sorun ise EMV standardındaki ve Visa‘nın temassız protokolündeki tasarım eksiklerinden kaynaklanmakta. Bu sayede siber saldırganlar işlem ayrıntılarını kontrol eden alanlar ve kart sahibinin doğrulanması da dahil olmak üzere temassız bir işlemle ilgili verileri değiştirme fırsatını yakalıyor. Ekip araştırma ile ilgili tüm bulgularını Visa’ya bildirmiş.

Bunun da üzerine, hem Mastercard hem de Visa kartlarını etkileyen ikinci bir güvenlik sorunu keşfedilmiş. Ama araştırma ekibi birincinin aksine, bu ikinci buldukları açığı gerçek dünyadaki mağazalarda test etmemişler. Çünkü buldukları güvenlik açığı satıcıları dolandırma gibi can sıkıcı bir ayrıntı içermekte.

Yorumlar
btbilgi
PAYLAŞ
blank
xTRlarge, Türkiye'nin (TR) üretici ve yenilikçi potansiyelini sergilemek; farklı bakış açılarını, yeni tarzları, x sayıda yeni değeri, girişimi, fikri yansıtmak; teknolojiden doğaya, iş yönetiminden tasarıma, insana dair faaliyetlerin en geniş ufkunu sizlerle mümkün olduğu kadar geniş 'large" paylaşabilmek için yola çıktı. Geleceğe inancı olanlarla birlikte mesafe katetmeyi planlıyor.