ทีมวิจัยจากมหาวิทยาลัยนิวคาสเซิลเตรียมนำเสนองานวิจัยในงาน CCS 2014 แสดงช่องโหว่ของบัตรเครดิตแบบไม่ต้องสัมผัส (contactless) ทำให้สามารถตัดเงินได้โดยที่ผู้ใช้ไม่ได้ยืนยันก่อน
ปกติแล้วระบบบัตรเครดิตในสหราชอาณาจักร (อังกฤษ) จะอนุญาตให้จ่ายเงินต่อเมื่อมีการยืนยันด้วยหมายเลขรหัสผ่าน แต่สำหรับจำนวนเงินน้อยๆ เช่นต่ำกว่า 20 ปอนด์จะสามารถตัดเงินได้เลยหากบัตรอยู่ใกล้เครื่องอ่าน ช่องโหว่ที่ทีมงานนำเสนอระบุว่าระบบของวีซ่ายอมให้ตัดเงินได้สูงสุดถึง 999,999.99 หากเป็นเงินตราต่างประเทศ ทำให้ผู้ร้ายสามารถตัดเงินได้เกือบล้านดอลลาร์ในครั้งเดียว
ทีมงานยังไม่ได้ทดสอบตัดเงินจริง เพียงแต่สร้างเครื่องรับจ่ายเงินปลอมขึ้นมา และแตะตัวบัตรเพื่อขอยืนยันการจ่ายเงินได้สำเร็จ ตัวบัตรจะให้ข้อความยืนยันออกมาเพื่อให้เครื่องรับจ่ายนำไปตัดเงินกับธนาคารต่อไป โดยทีมวิจัยเองก็ยอมรับว่าธนาคารมักจะมีระบบตรวจสอบเพิ่มเติมว่ารายการจ่ายนั้นเป็นรายการที่ถูกต้องหรือไม่
ที่มา - Newcastle University
Comments
apple จะออกมาพูดว่า apple pay เจ๋งกว่าป่ะเนี่ย
เข้าใจว่าระบบด้านหลังน่าจะใช้แนวคิดคล้ายๆ กัน คิดว่าน่าจะโดนด้วย เพราะเป็นส่วนที่ไปยืยันกับระบบ visa โดยตรง
ปล. ผมวิเคราะห์ ตามแนวคิดว่าเครื่องพวกนี้ใช้งานร่วมกับ apple pay ได้
protocol เดียวกันครับ
lewcpe.com, @wasonliw
หมายถึงตัวบัตร sign อย่างเดียว โดยไม่ได้ check message(จำนวนเงิน) ที่ส่งเข้าไปในบัตร
แต่สุดท้าย message ที่ได้ sign แล้ว พอไปถึงธนาคาร ก็คงต้องผ่านการตรวจสอบอึกที
ข้อเสียคือ ถ้าเป็นการทำงานแบบ offline มันจะเป็นปัญหา
แต่ถ้าทำงานแบบ online ก็ไม่น่ามีปัญหาอะไร