นักวิจัยจาก ETH Zurich รายงานถึงช่องโหว่ของโปรโตคอล EMV ที่ใช้ในบัตรเครดิตยอดนิยมทั่วโลก โดยช่องโหว่เปิดทางให้คนร้ายที่ขโมยบัตรไป สามารถจ่ายบิลที่วงเงินสูงๆ ได้โดยไม่ต้องใช้รหัส PIN แม้ตัวบัตรเครดิตจะกำหนดเพดานที่หากยอดจ่ายเกินเพดานจะต้องใช้ PIN ไว้ก็ตาม
สำหรับผู้ใช้บัตรเครดิตในไทยอาจจะไม่ชินนักเนื่องจากการยืนยันจ่ายเงินผ่านบัตรใช้ลายเซ็น แต่ในยุโรปหากวงเงินน้อยๆ การจ่ายแบบ Contactless จะสามารถแตะจ่ายได้ทันที แต่หากยอดชำระสูงขึ้นตัวเทอร์มินัลก็จะขึ้นถามรหัส PIN เพื่อยืนยันอีกครั้ง
นักวิจัยพบว่าฟิลด์ Card Transaction Qualifiers ในโปรโตคอลของ EMV ไม่มีการป้องกันการแก้ไข ทำให้นักวิจัยสามารถสร้างตัวกลางด้วยโทรศัพท์สองเครื่อง เครื่องหนึ่งทำหน้าที่อ่านบัตร และอีกเครื่องทำหน้าที่จำลองบัตร (card emulator) เพื่อใช้แตะเทอร์มินัลรับชำระเงิน ซอฟต์แวร์ในโทรศัพท์จะแก้ไขข้อมูลฟิลด์ Card Transaction Qualifiers เพื่อแจ้งว่าไม่ต้องใช้รหัส PIN ในการชำระเงิน
ช่องโหว่นี้มีผลจำกัด เนื่องจากตัวคนร้ายต้องมีบัตรเครดิตอยู่ในมือ ทีมงาน ETH Zurich แจ้ง Visa ถึงช่องโหว่นี้แล้ว
ที่มา - ZDNet
ภาพโดย [AhmadArdity