Sicurezza del sistema di pagamento basato su impronte digitali indiano AadhaarPay?

Question

Sicurezza del sistema di pagamento basato su impronte digitali indiano AadhaarPay?

#1 da (1 voti)
#2 da (0 voti)

4

India ha recentemente lanciato un sistema di pagamento in cui i commercianti installano un'app su un telefono Android e la collegano a un lettore di impronte digitali.

I clienti forniscono il loro numero Aadhaar (come un numero di identità nazionale) e scansionano il dito per autorizzare le transazioni che effettuano l'addebito sul proprio conto.

Si tratta di un sistema relativamente sicuro, rispetto alle carte chip e PIN?

Credo che sarebbe possibile catturare l'impronta digitale dell'utente utilizzando qualcosa per intercettare la comunicazione tra il lettore di impronte digitali e il telefono, quindi riprodurre l'impronta digitale registrata insieme al numero di Aadhaar (che può essere catturato con un keylogger o anche memorizzato da il commerciante).

Questa paura è giustificata?

payment financial biometrics

posta Jedi 30.12.2016 - 14:12

fonte

2 risposte

Leggi altre domande sui tag payment financial biometrics

Il mio tester di rete (Fluke) è bloccato? Comprensione di prevenzione, rilevamento e protezione

score 1 · Answer 1

Ho avuto esattamente lo stesso dubbio qualche giorno fa. Ma non è possibile modificarlo nel modo in cui hai descritto. Poiché i dati biometrici sono crittografati, un attacco man-in-the-middle non è praticamente possibile.

Ma il problema è con scanner biometrici manipolati. Gli scanner di impronte digitali Aadhaar crittografano i dati delle impronte digitali prima di inviarli o persino elaborarli. Ciò che si può fare è avere uno scanner ingegnerizzato che non cripta i dati per impostazione predefinita. Quindi è possibile memorizzare i dati.

Dipende dal dispositivo che si collega all'API di Aadhaar per verificare la validità dell'impronta digitale (controllando la temperatura delle dita, il contorno, ecc. per impedire il mascheramento con stampe false). Quindi, se il dispositivo POS viene manipolato, può inviare eseguire tutte le transazioni che desidera con i dati delle impronte digitali salvati.

score 0 · Answer 2

"Si tratta di un sistema relativamente sicuro, rispetto alle schede chip e PIN?"

Tecnicamente, no. Voglio dire che entrambi i sistemi sono metodi di autenticazione a due fattori

Una carta PIN usata: qualcosa che hai e qualcosa che conosci

L'autenticazione biometrica utilizza: qualcuno che sei e qualcosa che hai

Quindi il nuovo metodo garantisce solo che sia effettivamente TU a effettuare il pagamento.

Quindi, anche se tecnicamente, ci sono solo 2 livelli di sicurezza, il nuovo metodo garantisce solo che "fisicamente", il cliente era realmente presente al momento dell'acquisto ...

E sì, la tua paura è quasi giustificata ... Perché?

Anche se le app degli utenti non sono dannose, a volte richiedono autorizzazioni speciali per accedere alle risorse del dispositivo (es: accesso alla funzionalità di localizzazione del telefono) .... Quindi sì, un'app (maliziosa o meno) può catturare il traffico e riprodurlo a volontà libera ...
Quasi sì perché il lettore potrebbe avere un sensore per rilevare un dito .... se il "test del sensore" non viene superato, non sarà consentita alcuna azione in arrivo / in uscita al telefono.