يمكن تجاوز أرقام التعريف الشخصية اللاتلامسية Mastercard و Maestro بسبب ثغرة أمنية جديدة اكتشفتها الكلية السويسرية للهندسة في زيورخ ، وفقًا لأخبار الأمن السيبراني.
يتمثل الجانب الرئيسي للعيب أو الثغرة في أنه يسمح للصوص باستخدام بطاقة Mastercard أو Maestro المخترقة لإجراء مدفوعات دون الحاجة إلى إدخال رقم التعريف الشخصي لإكمال المعاملة.
إذا تم استغلالها بشكل صحيح يستلزم أولاً تثبيت برنامج مخصص على هاتفين ذكيين يعملان بنظام Android. يتم استخدام أحد الأجهزة لمحاكاة محطة نقطة بيع يتم تثبيتها ، بينما يعمل الآخر كمحاكي بطاقة يسمح بنقل معلومات المعاملة المعدلة إلى جهاز نقطة بيع حقيقي. بمجرد أن تبدأ البطاقة في المعاملة ، فإنها تكشف عن جميع المعلومات ذات الصلة.
أكد خبراء من ETH Zurich أن هذا هجوم منعزل ، ولكن يمكن استغلال ذلك بسهولة في الحياة الواقعية حيث يتم الكشف عن المزيد من الثغرات في طرق الدفع غير التلامسية. في الماضي تمكن نفس الفريق من تجاوز أرقام التعريف الشخصية للدفع اللاتلامسي بنجاح ، وهي تجربة موصوفة بالتفصيل في الورقة البحثية "معيار EMV".
ركزت التجربة الحالية على تجاوز رقم التعريف الشخصي على البطاقات التي لا يتم استخدامها لبروتوكول الدفع اللاتلامسي من Visa ، ولكن باستخدام نفس الإستراتيجية ونقاط الضعف المعروفة. تمكن الفريق من اعتراض مواصفات الدفع اللاتلامسية من Visa وتحويل جوانب المعاملة إلى محطة نقطة بيع حقيقية تم التحقق منها بالفعل وتأكيد رقم التعريف الشخصي جنبًا إلى جنب مع هوية مشتري البطاقة ، لذلك لم يكن نقاط البيع بحاجة إلى إجراء المزيد من الفحوصات .
بغض النظر عما إذا كانت Visa أو Mastercard أو Maestro ، تمكنت ETH من تنفيذ التجربة بنجاح ، وهذا ليس بالضبط ما يريد الملايين من مستخدمي البطاقات اللاتلامسية سماعه. نظرًا لخطورة المشكلة وعواقبها المحتملة ، لم يكشف الباحثون عن أسماء التطبيقات المستخدمة.
لن يكشف خبراء الأمن عن التطبيق المعني
أكد خبراء من ETH Zurich أن هذا هجوم منعزل ، ولكن يمكن استغلال ذلك بسهولة في الحياة الواقعية حيث يتم الكشف عن المزيد من الثغرات في طرق الدفع غير التلامسية. في الماضي تمكن نفس الفريق من تجاوز أرقام التعريف الشخصية للدفع اللاتلامسي بنجاح ، وهي تجربة موصوفة بالتفصيل في الورقة البحثية "معيار EMV".
ركزت التجربة الحالية على تجاوز رقم التعريف الشخصي على البطاقات التي لا يتم استخدامها لبروتوكول الدفع اللاتلامسي من Visa ، ولكن باستخدام نفس الإستراتيجية ونقاط الضعف المعروفة. تمكن الفريق من اعتراض مواصفات الدفع اللاتلامسية من Visa وتحويل جوانب المعاملة إلى محطة نقطة بيع حقيقية تم التحقق منها بالفعل وتأكيد رقم التعريف الشخصي جنبًا إلى جنب مع هوية مشتري البطاقة ، لذلك لم يكن نقاط البيع بحاجة إلى إجراء المزيد من الفحوصات .
بغض النظر عما إذا كانت Visa أو Mastercard أو Maestro ، تمكنت ETH من تنفيذ التجربة بنجاح ، وهذا ليس بالضبط ما يريد الملايين من مستخدمي البطاقات اللاتلامسية سماعه. نظرًا لخطورة المشكلة وعواقبها المحتملة ، لم يكشف الباحثون عن أسماء التطبيقات المستخدمة.
#المتسللين #تجاوز رمز #Mastercard #Maestro #Contactless
