Tags:
Topics: 
Node Thumbnail

ทีมวิจัยจากมหาวิทยาลัยนิวคาสเซิลเตรียมนำเสนองานวิจัยในงาน CCS 2014 แสดงช่องโหว่ของบัตรเครดิตแบบไม่ต้องสัมผัส (contactless) ทำให้สามารถตัดเงินได้โดยที่ผู้ใช้ไม่ได้ยืนยันก่อน

ปกติแล้วระบบบัตรเครดิตในสหราชอาณาจักร (อังกฤษ) จะอนุญาตให้จ่ายเงินต่อเมื่อมีการยืนยันด้วยหมายเลขรหัสผ่าน แต่สำหรับจำนวนเงินน้อยๆ เช่นต่ำกว่า 20 ปอนด์จะสามารถตัดเงินได้เลยหากบัตรอยู่ใกล้เครื่องอ่าน ช่องโหว่ที่ทีมงานนำเสนอระบุว่าระบบของวีซ่ายอมให้ตัดเงินได้สูงสุดถึง 999,999.99 หากเป็นเงินตราต่างประเทศ ทำให้ผู้ร้ายสามารถตัดเงินได้เกือบล้านดอลลาร์ในครั้งเดียว

ทีมงานยังไม่ได้ทดสอบตัดเงินจริง เพียงแต่สร้างเครื่องรับจ่ายเงินปลอมขึ้นมา และแตะตัวบัตรเพื่อขอยืนยันการจ่ายเงินได้สำเร็จ ตัวบัตรจะให้ข้อความยืนยันออกมาเพื่อให้เครื่องรับจ่ายนำไปตัดเงินกับธนาคารต่อไป โดยทีมวิจัยเองก็ยอมรับว่าธนาคารมักจะมีระบบตรวจสอบเพิ่มเติมว่ารายการจ่ายนั้นเป็นรายการที่ถูกต้องหรือไม่

ที่มา - Newcastle University

Get latest news from Blognone

Comments

By: Alios
iPhoneAndroidWindows
on 4 November 2014 - 09:30 #760400

apple จะออกมาพูดว่า apple pay เจ๋งกว่าป่ะเนี่ย

By: Ford AntiTrust
ContributorAndroidBlackberryUbuntu
on 4 November 2014 - 09:44 #760404 Reply to:760400
Ford AntiTrust's picture

เข้าใจว่าระบบด้านหลังน่าจะใช้แนวคิดคล้ายๆ กัน คิดว่าน่าจะโดนด้วย เพราะเป็นส่วนที่ไปยืยันกับระบบ visa โดยตรง

ปล. ผมวิเคราะห์ ตามแนวคิดว่าเครื่องพวกนี้ใช้งานร่วมกับ apple pay ได้

By: lew
FounderJusci's WriterMEconomicsAndroid
on 4 November 2014 - 10:57 #760431 Reply to:760400
lew's picture

protocol เดียวกันครับ


lewcpe.com, @wasonliw

By: jane
AndroidUbuntu
on 4 November 2014 - 12:56 #760454
jane's picture

หมายถึงตัวบัตร sign อย่างเดียว โดยไม่ได้ check message(จำนวนเงิน) ที่ส่งเข้าไปในบัตร

แต่สุดท้าย message ที่ได้ sign แล้ว พอไปถึงธนาคาร ก็คงต้องผ่านการตรวจสอบอึกที

ข้อเสียคือ ถ้าเป็นการทำงานแบบ offline มันจะเป็นปัญหา
แต่ถ้าทำงานแบบ online ก็ไม่น่ามีปัญหาอะไร