Nowe Badania Ujawniają Błędy Bezpieczeństwa w Popularnych Cyfrowych Portfelach

Artykuł naukowy opublikowany dzisiaj przez Uniwersytet Massachusetts Amherst ujawnił znaczące luki w zabezpieczeniach popularnych portfeli cyfrowych, takich jak Apple Pay, Google Pay i PayPal. Badanie podkreśla, jak te technologie, których do 2026 roku ma używać ponad 5,3 miliarda osób, mogą być narażone na kompromitację z powodu przestarzałych metod uwierzytelniania, które stawiają wygodę przed bezpieczeństwem.

Komunikat uniwersytetu wyjaśnia również, że naukowcy zidentyfikowali błąd w sposobie, w jaki banki radzą sobie ze skradzionymi kartami. Banki zazwyczaj blokują fizyczną kartę, ale nie rozwiązują problemu transakcji za pośrednictwem portfeli cyfrowych, gdzie system tokenów nie wymaga ponownego uwierzytelniania po wymianie karty.

W rezultacie, napastnicy nadal mogą korzystać ze skradzionych danych karty do dokonywania zakupów, nawet po tym, jak ofiara otrzymała nową kartę. Wykazuje to krytyczną lukę w zabezpieczeniach, która musi zostać zaadresowana, aby chronić przed oszukańczymi transakcjami.

Taqi Raza, jeden z autorów artykułu, stwierdza w komunikacie: „Każdy złośliwy aktor, który zna [fizyczny] numer karty, może udawać jej posiadacza, […] Cyfrowy portfel nie ma wystarczającego mechanizmu do autentykacji, czy użytkownik karty jest jej posiadaczem, czy nie.”

Ponadto, badanie ujawnia, że napastnicy mogą wykorzystać te cyfrowe portfele na różne sposoby. Po pierwsze, mogą dodać kartę bankową ofiary do swojego własnego portfela, omijając umowę autentykacji pomiędzy portfelem a bankiem.

Po drugie, wykorzystują zaufanie istniejące między portfelem a bankiem, aby ominąć autoryzację płatności. Po trzecie, napastnicy mogą manipulować typami płatności, aby obejść zasady kontroli dostępu, co pozwala im na dokonywanie nieautoryzowanych zakupów, mimo zgłoszenia karty jako skradzionej.

Badanie zbadalo podatności w większych bankach w USA i aplikacjach portfeli cyfrowych, ujawniając, że nawet po zawiadomieniu banków, problemy nadal istnieją. Badacze odkryli, że nowe dane karty są powiązane ze starym wirtualnym tokenem bez ponownej autentykacji, umożliwiając ciągłą działalność oszukańczą.

Aby poradzić sobie z tymi problemami, badanie proponuje kilka środków zaradczych. Jedną z głównych rekomendacji jest zastąpienie przestarzałych systemów jednorazowego hasła (OTP) bardziej bezpiecznymi metodami wieloskładnikowego uwierzytelniania (MFA).

Dodatkowo, badanie sugeruje wprowadzenie ciągłej autentykacji w zarządzaniu tokenami, aby zwiększyć bezpieczeństwo. Obecnie, tokeny płatnicze pozostają ważne niezależnie od początkowej autentykacji. Rekomenduje się, aby banki stosowały okresową reautentykację i odświeżanie tokenów, szczególnie po krytycznych zdarzeniach, takich jak zgubienie karty.

Na koniec, badanie zaleca poprawę autoryzacji transakcji poprzez analizę metadanych transakcji, takich jak czas i częstotliwość, w celu rozróżnienia pomiędzy jednorazowymi a cyklicznymi transakcjami. Pomogłoby to zapobiegać nadużyciom w etykietowaniu transakcji i zapewnić, że transakcje są zgodne z zamierzonymi typami i kwotami.