સુરક્ષા સંશોધક: Apple Pay, Samsung Pay અને Google Pay માં ખામી ચોરો માટે છેતરપિંડી સરળ બનાવે છે

છબી: iStockphoto/ipopba

હેન્ડ્સ-ફ્રી પેમેન્ટ્સ અને તે વ્યવહારોને સુરક્ષિત કરવા માટે જરૂરી સુરક્ષા ધોરણો વચ્ચેનું સંતુલન ખૂબ જ ખોટી દિશામાં આગળ વધી ગયું છે, સુરક્ષા નિષ્ણાતના મતે.

આ અઠવાડિયે બ્લેક હેટ યુરોપ 2021 ખાતેના સત્રમાં, પોઝિટિવ ટેક્નોલોજીના વરિષ્ઠ સુરક્ષા નિષ્ણાત તૈમૂર યુનુસોવ, સંપર્ક વિનાની ચુકવણી એપ્લિકેશન્સમાં ખામીઓ સમજાવી જે ખોવાયેલા અથવા ચોરાયેલા મોબાઇલ ફોનનો ઉપયોગ કરીને છેતરપિંડી તરફ દોરી શકે છે. યુનુસોવ ચુકવણી અને એપ્લિકેશન સુરક્ષામાં નિષ્ણાત છે.

યુનુસોવના જણાવ્યા મુજબ, આ છેતરપિંડીની ચાવી એ ફોનને અનલોક કર્યા વિના સબવે અને બસ ટિકિટ માટે ચૂકવણી કરવાની સુવિધા છે. યુ.એસ., યુકે, ચીન અને જાપાનના વપરાશકર્તાઓ સ્માર્ટફોનમાં પેમેન્ટ કાર્ડ ઉમેરી શકે છે અને તેને ટ્રાન્સપોર્ટ કાર્ડ તરીકે સક્રિય કરી શકે છે.

“હુમલો કરવા માટે, સેમસંગ પે અને એપલ પે સાથેના સ્માર્ટફોન આ દેશોમાં નોંધાયેલા હોવા જોઈએ, પરંતુ કાર્ડ અન્ય કોઈપણ પ્રદેશમાં જારી કરી શકાય છે,” યુનુસોવે જણાવ્યું હતું. “ચોરાયેલા ફોનનો ઉપયોગ ગમે ત્યાં કરી શકાય છે, અને તે Google Pay સાથે શક્ય છે.”

યુનુસોવ અને અન્ય પોઝિટિવ ટેક્નોલોજીના સંશોધકોએ આ પદ્ધતિ દ્વારા એક વ્યવહાર પર કેટલા નાણાં ખર્ચી શકાય તે જોવા માટે શ્રેણીબદ્ધ ચુકવણીઓનું પરીક્ષણ કર્યું. તેઓ 101 પાઉન્ડ પર અટકી ગયા. સંશોધકોના જણાવ્યા મુજબ, “ફોનની બેટરી મરી ગઈ હોય તો પણ, નવીનતમ iPhone મોડલ પણ અમને કોઈપણ PoS ટર્મિનલ પર ચુકવણી કરવાની મંજૂરી આપે છે,” જો ફોનમાં ચુકવણી માટે વિઝા કાર્ડનો ઉપયોગ કરવામાં આવ્યો હોય અને એક્સપ્રેસ ટ્રાન્ઝિટ મોડને સક્ષમ કર્યું હોય.

જુઓ: ડિજિટલ ડ્રાયવર્સ લાયસન્સ: શું તેઓ અમારા માટે વિશ્વાસ કરવા માટે પૂરતા સુરક્ષિત છે?

પોઝિટિવ ટેક્નૉલૉજી જવાબદાર જાહેરાતના સિદ્ધાંતોનું પાલન કરે છે, જેનો અર્થ છે કે ખામીને સાર્વજનિક કરવામાં આવે તે પહેલાં સૉફ્ટવેર ઉત્પાદકોનો સુરક્ષા જોખમ વિશેની માહિતી સાથે સંપર્ક કરવામાં આવે છે. જો કોઈ ઉત્પાદક 90 દિવસની અંદર લેખિતમાં જવાબ ન આપે, તો સુરક્ષા સંશોધકો એવી માહિતીનો ઉલ્લેખ કર્યા વિના તારણો પ્રકાશિત કરવાનો અધિકાર અનામત રાખે છે જે દોષિતોને શોધેલી નબળાઈનો ઉપયોગ કરવાની મંજૂરી આપે.

પોઝિટિવ ટેક્નોલોજીએ જણાવ્યું કે એપલ, ગૂગલ અને સેમસંગને અનુક્રમે માર્ચ, જાન્યુઆરી અને એપ્રિલ 2021માં મળી આવેલી નબળાઈઓ વિશે સૂચના આપવામાં આવી હતી. પોઝિટિવ ટેક્નોલોજીના જણાવ્યા અનુસાર, કંપનીઓએ જણાવ્યું હતું કે તેઓ તેમની સિસ્ટમમાં કોઈ ફેરફાર કરવાની યોજના નથી બનાવી રહી પરંતુ તારણો અને રિપોર્ટ્સ પેમેન્ટ સિસ્ટમ્સ સાથે શેર કરવાની પરવાનગી માંગી છે. સિક્યોરિટી કંપનીએ એમ પણ કહ્યું કે તેના સંશોધકોએ વિઝા અને માસ્ટરકાર્ડના ટેકનિકલ નિષ્ણાતોનો સંપર્ક કર્યો પરંતુ તેમને કોઈ પ્રતિસાદ મળ્યો નથી.

વિઝા કાર્ડ સૌથી વધુ સંવેદનશીલ હોઈ શકે છે

યુનુસોવે જણાવ્યું હતું કે ઑફલાઇન ડેટા પ્રમાણીકરણનો અભાવ આ શોષણને મંજૂરી આપે છે, ભલે ત્યાં હોય EMVCo સ્પષ્ટીકરણો આ વ્યવહારોને આવરી લે છે.

“માત્ર સમસ્યા એ છે કે હવે માસ્ટરકાર્ડ, વિઝા અને AMEX જેવી મોટી કંપનીઓને આ ધોરણોને અનુસરવાની જરૂર નથી જ્યારે આપણે NFC ચૂકવણી વિશે વાત કરીએ – આ કંપનીઓ 2010 ના દાયકાની શરૂઆતમાં અલગ થઈ ગઈ હતી, અને દરેક હવે અહીં જે ઈચ્છે છે તે કરી રહ્યા છે,” તેમણે જણાવ્યું હતું.

એપલ પે, ગૂગલ પે અને સેમસંગ પે એપ તમામ આ ખતરા માટે સંવેદનશીલ છે. યુનુસોવના જણાવ્યા મુજબ, જો કોઈ વ્યક્તિ માસ્ટરકાર્ડ અથવા અમેરિકન એક્સપ્રેસને બદલે ચુકવણી માટે વિઝા કાર્ડનો ઉપયોગ કરી રહી હોય તો તેમાં કોઈ ફરક જણાય છે.

“માસ્ટરકાર્ડે નક્કી કર્યું કે ODA એ તેમની સુરક્ષા વ્યવસ્થાનો એક મહત્વપૂર્ણ ભાગ છે અને તેને વળગી રહેશે,” તેમણે કહ્યું. “તેથી, વિશ્વભરના તમામ ટર્મિનલ્સ કે જેઓ MC કાર્ડ સ્વીકારે છે તેઓએ ODAનું પાલન કરવું જોઈએ, અને જો તે નિષ્ફળ જાય, તો NFC વ્યવહાર નકારવો જોઈએ.”

યુનુસોવના જણાવ્યા મુજબ, વિઝા વેચાણના તમામ ટર્મિનલ્સ પર આ ODA ચકાસણીનો ઉપયોગ કરતું નથી, જે નબળાઈ બનાવે છે. બર્મિંગહામ યુનિવર્સિટીના સંશોધકોએ પણ એક પેપરમાં આ ખામી વર્ણવી છે, “પ્રાયોગિક EMV રિલે પ્રોટેક્શન

વિઝાના પ્રવક્તાએ સંશોધનના જવાબમાં જણાવ્યું હતું કે ટ્રાન્ઝિટ ફીચર્સ સાથે મોબાઈલ વોલેટ્સ સાથે જોડાયેલા વિઝા કાર્ડ્સ સુરક્ષિત છે અને મોટાભાગની કોન્ટેક્ટલેસ ફ્રોડ સ્કીમ્સનો પ્રયોગશાળાના સેટિંગમાં એક દાયકા કરતાં વધુ સમયથી અભ્યાસ કરવામાં આવ્યો છે અને તે મોટા પાયે ચલાવવા માટે અવ્યવહારુ સાબિત થઈ છે. વાસ્તવિક દુનિયા.

પ્રવક્તાએ જણાવ્યું હતું કે, “ચુકવણીને સુરક્ષિત કરવા માટે સુરક્ષાના બહુવિધ સ્તરોનો ઉપયોગ કરવામાં આવે છે અને ગ્રાહકોને વિઝાની શૂન્ય જવાબદારી ગેરંટીનો લાભ મળે છે.” “વિઝા તમામ સુરક્ષા જોખમોને ગંભીરતાથી લે છે અને કાર્ડધારકોને નવીનતમ વાસ્તવિક દુનિયાના જોખમોથી બચાવવા માટે તેની ચુકવણી સુરક્ષા ક્ષમતાઓને સતત વિકસિત કરે છે.”

મોબાઇલ પે એપ્સમાં ખામીને ઠીક કરવી

યુનુસોવે કહ્યું કે ફોન ઉત્પાદકો અને પેમેન્ટ કંપનીઓએ આ નબળાઈને દૂર કરવા માટે સાથે મળીને કામ કરવાની જરૂર છે. વાસ્તવમાં, એપલ અને સેમસંગે વિઝા અને માસ્ટરકાર્ડ પર જવાબદારી શિફ્ટ કરી છે, તેમણે કહ્યું કે, સમસ્યા પેમેન્ટ કંપનીઓના ઉત્પાદનોમાં ન હોવા છતાં.

યુનુસોવે કહ્યું, “મોબાઇલ વોલેટ્સ એક સ્વીટ સ્પોટ પર છે – એક બાજુ, તેઓ (ચુકવણી કંપનીઓ) વ્યવહારોમાંથી પૈસા કમાય છે અને તેમના ઉત્પાદનોને લોકપ્રિય બનાવે છે,” યુનુસોવે કહ્યું. “બીજી બાજુથી, તેઓ ગ્રાહકોને કહે છે કે જો કોઈ છેતરપિંડી થઈ હોય તો, તેઓએ શા માટે ચૂકવણીની મંજૂરી આપી તે પૂછવા માટે જારી કરનાર બેંકનો સંપર્ક કરવા.”

યુનુસોવે કહ્યું કે સમસ્યાનો ઉકેલ એ છે કે દરેક ટ્રાન્ઝેક્શન માટે કિંમત, વેપારી કોડ અને ફોનની સ્થિતિ ધ્યાનમાં લેવી. તેમણે પ્રક્રિયાને આ રીતે વર્ણવી:

“જો ચુકવણી $0.00 માટે છે, ફોન લૉક છે, અને MCC કોડ પરિવહન છે, જ્યારે કોઈ સબવેમાં ચુકવણી કરે છે ત્યારે આ એક કાયદેસર વ્યવહાર છે. પરંતુ જો ચુકવણી $100 છે, તો ફોન અનલૉક કરવામાં આવ્યો હતો (તમે આ માહિતી ટ્રાન્ઝેક્શન ડેટામાં પુનઃપ્રાપ્ત કરી શકો છો), અને MCC એ ‘સુપરમાર્કેટ્સ’ છે, જે શંકાસ્પદ છે, કારણ કે ગ્રાહકો માટે અનલૉક કર્યા વિના સુપરમાર્કેટમાં ચુકવણી કરવી શક્ય ન હોવી જોઈએ. ફોન.”

તેમણે ભલામણ કરી કે ડેવલપર્સ મોબાઈલ પે એપ્સની સુરક્ષાને બહેતર બનાવવા માટે આ મુદ્દાઓ પર ધ્યાન આપે:

  • Apple Pay પ્રમાણીકરણ અને ફીલ્ડ માન્યતા સાથે સમસ્યાઓ
  • AAC/ARQC ક્રિપ્ટોગ્રામમાં મૂંઝવણ
  • સાર્વજનિક પરિવહન યોજનાઓ માટે રકમની ફીલ્ડ માન્યતાનો અભાવ
  • MCC ક્ષેત્ર અખંડિતતા તપાસનો અભાવ
  • Google Pay ચુકવણીઓ કોઈ CVM મર્યાદા નથી

**વિઝા તરફથી ટિપ્પણી સાથે 15 નવેમ્બર, 2021 ના ​​રોજ લેખ અપડેટ કરવામાં આવ્યો.

Leave a Comment