Yeni Araştırma, Popüler Dijital Cüzdanlarda Güvenlik Açıklarını Ortaya Koyuyor

Massachusetts Amherst Üniversitesi tarafından bugün yayınlanan bir araştırma makalesi, Apple Pay, Google Pay ve PayPal gibi popüler dijital cüzdanlarda önemli güvenlik açıklıkları olduğunu ortaya koymaktadır. Çalışma, 2026 yılına kadar 5.3 milyardan fazla kişi tarafından kullanılması beklenen bu teknolojilerin, güvenliği ikinci plana atan güncelliğini yitirmiş kimlik doğrulama yöntemleri nedeniyle ne kadar risk altında olduğunu vurgulamaktadır.

Üniversitenin duyurusu ayrıca, araştırmacıların bankaların çalınan kartları nasıl ele aldıklarında bir kusur tespit ettiklerini de açıklıyor. Bankalar genellikle fiziksel kartı bloke ederken, kartın yenilenmesinin ardından yeniden kimlik doğrulaması gerektirmeyen token sistemine sahip dijital cüzdanlardaki işlemleri ele almamaktadırlar.

Sonuç olarak, saldırganlar, kurban yeni bir kart aldıktan sonra bile çalınan kart detaylarını alışverişlerde kullanabilirler. Bu, dolandırıcılık işlemlerine karşı koruma sağlamak için ele alınması gereken kritik bir güvenlik açığını ortaya çıkarır.

Makalenin yazarlarından biri olan Taqi Raza, duyuruda şunları belirtiyor: “Fiziksel kart numarasını bilen herhangi bir kötü niyetli aktör, kart sahibi gibi davranabilir. […] Dijital cüzdanın, kart kullanıcısının kart sahibi olup olmadığını doğrulamak için yeterli mekanizması yoktur.”

Ayrıca, çalışma, saldırganların bu dijital cüzdanları çeşitli yollarla istismar edebileceğini ortaya koymaktadır. İlk olarak, cüzdan ve banka arasındaki doğrulama anlaşmasını atlayarak, bir kurbanın banka kartını kendi cüzdanlarına ekleyebilirler.

İkinci olarak, ödeme yetkilendirmesini atlamak için cüzdan ve banka arasındaki doğal güveni istismar ederler. Üçüncü olarak, saldırganlar, ödeme türlerini manipüle ederek erişim kontrol politikalarını aşabilir, bu da kartın çalındığı bildirilmesine rağmen izinsiz alışveriş yapmalarını sağlar.

Çalışma, büyük ABD bankaları ve dijital cüzdan uygulamalarındaki zafiyetleri inceledi ve bankaların bilgilendirilmesine rağmen sorunların devam ettiğini ortaya koydu. Araştırmacılar, yeni kart detaylarının yeniden doğrulama olmaksızın eski sanal tokene bağlandığını ve bu durumun sürekli dolandırıcılık faaliyetlerine olanak sağladığını buldular.

Bu sorunları çözmek için, çalışma birkaç önlem öneriyor. Ana önerilerden biri, güncelliğini yitirmiş tek seferlik şifre (OTP) sistemlerinin daha güvenli çok faktörlü doğrulama (MFA) yöntemleriyle değiştirilmesidir.

Ayrıca, çalışma, güvenliği artırmak için token yönetimi için sürekli doğrulamanın uygulanmasını önermektedir. Şu anda, ödeme tokenları ilk doğrulamadan sonra süresiz olarak geçerli kalır. Özellikle kart kaybı gibi kritik olaylardan sonra, bankaların periyodik olarak yeniden doğrulama yapması ve tokenları yenilemesi önerilmektedir.

Son olarak, araştırma, işlem yetkilendirmesini geliştirmeyi, tek seferlik ve tekrarlanan işlemleri ayırt etmek için işlem meta verilerini, örneğin zaman ve sıklığı, analiz etmeyi önermektedir. Bu, işlem etiketlerinin kötüye kullanılmasını önlemeye ve işlemlerin belirlenen türlerine ve miktarlarına uygun olmasını sağlamaya yardımcı olacaktır.