Introduction (ভূমিকা)

বর্তমান ডিজিটাল যুগে “Tap to Pay” বা কন্ট্যাক্টলেস পেমেন্ট আমাদের দৈনন্দিন জীবনের একটি অবিচ্ছেদ্য অংশ হয়ে দাঁড়িয়েছে। পকেট থেকে কার্ড বা স্মার্টফোন বের করে পেমেন্ট টার্মিনালে একটি সাধারণ ট্যাপ, এবং মুহূর্তের মধ্যেই লেনদেন সম্পন্ন। কিন্তু এই অত্যাধুনিক সুবিধার আড়ালে কি কোনো মারাত্মক নিরাপত্তা ত্রুটি লুকিয়ে থাকতে পারে? সম্প্রতি জনপ্রিয় বিজ্ঞান ও প্রযুক্তি ভিত্তিক ইউটিউব চ্যানেল Veritasium তাদের একটি চাঞ্চল্যকর ভিডিও “Exposing the flaw in tap to pay”-তে ঠিক এমনই একটি ভয়াবহ Security Vulnerability বা নিরাপত্তা ত্রুটি উন্মোচন করেছে।

ভিডিওটিতে দেখানো হয়েছে, সাইবার সিকিউরিটি গবেষকরা কীভাবে বিখ্যাত প্রযুক্তি-বিশ্লেষক Marques Brownlee (MKBHD)-এর সম্পূর্ণ লক করা (Locked) iPhone থেকে ১০,০০০ ডলার (প্রায় ১০ লক্ষ টাকারও বেশি) কোনো প্রকার পিন কোড, ফেস-আইডি (FaceID) বা ফিঙ্গারপ্রিন্ট ছাড়াই চুরি করে নিয়েছেন। এই ঘটনাটি সাইবার সিকিউরিটি এবং ডিজিটাল পেমেন্ট ইকোসিস্টেমে (Digital Payment Ecosystem) এক বিশাল আলোড়ন সৃষ্টি করেছে। আজকের এই আর্টিকেলে আমরা এই “Tap to Pay” এক্সপ্লয়েটের পেছনের গভীর প্রযুক্তিগত বিষয়বস্তু (Core Technical Concepts), এর সুদূরপ্রসারী প্রভাব (Impact) এবং ভবিষ্যতের ডিজিটাল পেমেন্ট সিকিউরিটি নিয়ে একটি বিস্তারিত আলোচনা করব।

Link

Embed

Copy and paste this HTML code into your webpage to embed.

Core Concepts: How Tap to Pay Works (ট্যাপ-টু-পে প্রযুক্তি কীভাবে কাজ করে?)

এই নিরাপত্তা ত্রুটিটি সঠিকভাবে বুঝতে হলে, প্রথমে আমাদের জানতে হবে স্মার্টফোনের ট্যাপ-টু-পে সিস্টেমের অভ্যন্তরীণ কাজ করার পদ্ধতি। Modern contactless payments মূলত NFC (Near Field Communication) প্রযুক্তির উপর নির্ভর করে কাজ করে। যখন আপনি আপনার স্মার্টফোন বা কন্ট্যাক্টলেস কার্ড একটি Payment Terminal (যাকে POS বা Point of Sale বলা হয়)-এর কাছাকাছি আনেন, তখন তারা 13.56 MHz রেডিও ফ্রিকোয়েন্সি ব্যবহার করে একে অপরের সাথে ডেটা আদান-প্রদান করে।

এই পুরো যোগাযোগ ব্যবস্থাটি একটি আন্তর্জাতিক স্ট্যান্ডার্ড মেনে চলে, যাকে বলা হয় EMV (Europay, Mastercard, and Visa) standard। আপনি যখন Apple Pay বা Google Pay ব্যবহার করেন, তখন আপনার আসল ক্রেডিট বা ডেবিট কার্ড নম্বরটি সরাসরি টার্মিনালে পাঠানো হয় না। এর পরিবর্তে Tokenization নামের একটি পদ্ধতি ব্যবহার করা হয়। আপনার কার্ডের ডেটা একটি “Token” বা ছদ্মবেশে সুরক্ষিত থাকে।

প্রতিটি লেনদেনের সময় ডিভাইসটি একটি ইউনিক Cryptogram বা ক্রিপ্টোগ্রাফিক কোড তৈরি করে। Apple Pay-এর ক্ষেত্রে, পেমেন্ট সম্পূর্ণ করার আগে সিস্টেম নিশ্চিত হতে চায় যে আসল মালিকই পেমেন্টটি করছেন। এজন্য এটি ব্যবহারকারীর বায়োমেট্রিক ডেটা (FaceID বা TouchID) যাচাই করে। টেকনিক্যাল ভাষায় একে বলা হয় CDCVM (Consumer Device Cardholder Verification Method)। সাধারণত, CDCVM সফলভাবে যাচাই না হওয়া পর্যন্ত কোনো বড় অংকের ট্রানজেকশন অ্যাপ্রুভ করা হয় না।

The Vulnerability: Express Transit Mode (দুর্বলতার মূল কেন্দ্র)

Apple Pay-এর নিরাপত্তা ব্যবস্থা সাধারণত অত্যন্ত সুদৃঢ়। তবে গবেষকরা এর একটি বিশেষ ফিচারের মধ্যে মারাত্মক একটি ফাঁক খুঁজে পেয়েছেন। ফিচারটির নাম হলো “Express Transit” বা Express Mode। বিশ্বের বিভিন্ন বড় শহরে (যেমন লন্ডন, নিউইয়র্ক) পাবলিক ট্রান্সপোর্ট বা সাবওয়ে গেটগুলোতে যাত্রীদের তাড়াহুড়ো থাকে। বারবার FaceID দিয়ে পেমেন্ট করা সময়সাপেক্ষ। যাত্রীদের এই অসুবিধা দূর করতে Apple এই ফিচারটি চালু করে। Express Transit এনাবল থাকলে, ফোন লক থাকা অবস্থাতেই সাবওয়ে গেটের টার্মিনালে ট্যাপ করলে পেমেন্ট হয়ে যায়, কোনো বায়োমেট্রিক ভেরিফিকেশনের প্রয়োজন হয় না।

গবেষকরা আবিষ্কার করেন যে, Visa কার্ডের ক্ষেত্রে এই Transit protocol-এর ইমপ্লিমেন্টেশনে একটি মারাত্মক লজিক্যাল ত্রুটি (Logical Flaw) রয়েছে। যখন একটি iPhone কোনো ট্রানজিট টার্মিনালের সামনে আসে, তখন টার্মিনাল একটি নির্দিষ্ট কোড পাঠায় যা আইফোনকে বোঝায় যে এটি একটি “Transit reader”। তখন আইফোন কোনো বায়োমেট্রিক ভেরিফিকেশন ছাড়াই পেমেন্ট ডেটা রিলিজ করে দেয়। কিন্তু সমস্যা হলো, এই ডেটা যে আসলেই একটি সাবওয়ে গেটে যাচ্ছে, নাকি অন্য কোনো হ্যাকারের ডিভাইসে যাচ্ছে, তা যাচাই করার কোনো নিখুঁত পদ্ধতি ভিসা প্রোটোকলের ওই অংশে ছিল না।

The Technical Attack: MitM & Relay Attack (প্রযুক্তিগত আক্রমণের বিস্তারিত রূপরেখা)

Veritasium-এর ভিডিওতে দেখানো হ্যাকটি মূলত একটি অত্যন্ত সুকৌশলী Relay Attack এবং Man-in-the-Middle (MitM) অ্যাটাকের সংমিশ্রণ। এই অ্যাটাকটি সফল করতে হ্যাকারদের দুটি ডিভাইস এবং কিছু কাস্টম সফটওয়্যার প্রয়োজন হয়। চলুন এর Technical flow বা প্রযুক্তিগত ধাপগুলো ধাপে ধাপে বিশ্লেষণ করা যাক:

1. The Setup (অ্যাটাকারের সরঞ্জাম): অ্যাটাকারের কাছে দুটি ডিভাইস থাকে। একটি হলো “Reader” (যা ভিকটিমের আইফোনের কাছাকাছি থাকে) এবং আরেকটি হলো “Emulator” (যা আসল পেমেন্ট টার্মিনালের কাছে থাকে, যেখানে হ্যাকার টাকা রিসিভ করবে)।
2. Terminal Transaction Qualifiers (TTQ) Manipulation: হ্যাকার তার Reader ডিভাইসটি ভিকটিমের (যেমন MKBHD) পকেটে বা ব্যাগে থাকা আইফোনের খুব কাছে নিয়ে যায়। সাধারণ পেমেন্ট টার্মিনাল আইফোনকে একটি TTQ (Terminal Transaction Qualifiers) ডেটা প্যাকেট পাঠায়। হ্যাকার এই TTQ প্যাকেটের ডেটা পরিবর্তন করে (modify) আইফোনকে বোঝায় যে এটি একটি “Transit Terminal” (যেমন সাবওয়ের গেট) এবং এটি অফলাইন পেমেন্ট সাপোর্ট করে।
3. Bypassing Biometrics: যেহেতু আইফোনটি মনে করে এটি ট্রানজিট গেট এবং ইউজারের “Express Transit” এনাবল করা আছে, তাই এটি FaceID ছাড়াই পেমেন্ট অথোরাইজেশনের জন্য একটি Cryptogram তৈরি করে হ্যাকারের Reader-এর কাছে পাঠিয়ে দেয়।
4. The Magic Byte (Bit-Flipping): এখানেই সবচেয়ে ভয়ংকর এবং সূক্ষ্ম টেকনিক্যাল কারসাজিটি ঘটে। আইফোন যখন ডেটা ফেরত পাঠায়, তখন এর মধ্যে একটি CTQ (Card Transaction Qualifiers) ডেটা থাকে। এই CTQ-এর মধ্যে একটি নির্দিষ্ট “Bit” বা ফ্ল্যাগ থাকে যা ব্যাংককে বলে দেয় যে ইউজার বায়োমেট্রিক ভেরিফিকেশন করেছে কি না। হ্যাকাররা তাদের সফটওয়্যার (যেমন Proxmark3 বা কাস্টম স্ক্রিপ্ট) ব্যবহার করে রিয়েল-টাইমে এই CTQ ডেটাটি ইন্টারসেপ্ট করে। এরপর তারা সেই নির্দিষ্ট Bit-টি (0 থেকে 1) পরিবর্তন করে দেয়, যাকে Bit-flipping বলা হয়। এর ফলে সিস্টেমকে মিথ্যা তথ্য দেওয়া হয় যে, “হ্যাঁ, ইউজার সফলভাবে FaceID/TouchID দিয়ে ভেরিফাই করেছে” (CDCVM = Successful)।
5. The Cryptographic Blind Spot (ব্যাংকের ত্রুটি): আপনি ভাবতে পারেন, ডেটা পরিবর্তন করলে ব্যাংকের সিস্টেমে তো এরর আসার কথা! কিন্তু Visa-এর কন্ট্যাক্টলেস প্রোটোকলের একটি বড় দুর্বলতা হলো, আইফোন যে Authorization Cryptogram-টি তৈরি করে, তার MAC (Message Authentication Code) ক্যালকুলেশনের ভেতরে এই CTQ ডেটাটি অন্তর্ভুক্ত ছিল না। অর্থাৎ, এই ভেরিফিকেশন স্ট্যাটাসটি ক্রিপ্টোগ্রাফিকভাবে সুরক্ষিত বা সাইন (Signed) করা ছিল না। ফলে হ্যাকাররা মাঝপথে ডেটা পরিবর্তন করলেও ক্রিপ্টোগ্রামটি ভ্যালিড (Valid) থাকে।
6. The Heist (চুরি সম্পন্ন): হ্যাকারের Emulator ডিভাইসটি এই পরিবর্তিত ডেটা (যেখানে বলা আছে পেমেন্ট ভেরিফায়েড) আসল পেমেন্ট টার্মিনালে (যেখানে ১০,০০০ ডলার চার্জ করা হচ্ছে) ইনপুট করে। ব্যাংক বা পেমেন্ট প্রসেসর এই পরিবর্তিত ডেটাটিকে সম্পূর্ণ আসল মনে করে এবং মুহূর্তের মধ্যে ১০,০০০ ডলারের বিশাল পেমেন্টটি অ্যাপ্রুভ করে দেয়!

The Impact: Who is at Risk? (এর প্রভাব এবং কারা ঝুঁকিতে আছেন?)

এই নির্দিষ্ট এক্সপ্লয়েটটি মূলত Apple Pay-তে যুক্ত Visa কার্ডের ক্ষেত্রেই কাজ করে, যখন সেটি “Express Transit” মোডে সেট করা থাকে। Veritasium-এর ভিডিওতে দেখানো MKBHD-এর ফোন থেকে ১০,০০০ ডলার চুরির ঘটনাটি প্রমাণ করে যে এর Financial impact কতটা ভয়াবহ হতে পারে। হ্যাকাররা চাইলে ভিড় বা জনবহুল জায়গায় (যেমন কনসার্ট, ট্রেন স্টেশন বা শপিং মলে) খুব সহজেই মানুষের পকেটের কাছে Reader ডিভাইস নিয়ে গিয়ে বড় অংকের টাকা চুরি করতে পারে।

অন্যদিকে, Android ইউজাররা (যেমন Samsung Pay বা Google Wallet ব্যবহারকারীরা) সাধারণত এই Relay Attack-এর ঝুঁকিতে নেই। কারণ এই সিস্টেমগুলোতে পেমেন্ট টার্মিনালে ট্যাপ করার আগে অন্তত ফোনের স্ক্রিন অন (Wake up) করা বা ডিভাইস আনলক করা বাধ্যতামূলক। অ্যান্ড্রয়েডে Apple-এর মতো সম্পূর্ণ স্ক্রিন-অফ অবস্থায় Express Transit-এর মতো কোনো ফিচার নেই যা এতোটা সুবিধাজনক কিন্তু একইসাথে এতোটা ঝুঁকিপূর্ণ।

The Future: Mitigations and Industry Response (ভবিষ্যৎ, প্রতিরোধ এবং ইন্ডাস্ট্রি রেসপন্স)

এই ভয়াবহ দুর্বলতা প্রকাশের পর টেক এবং ফাইন্যান্স ইন্ডাস্ট্রিতে বেশ তোলপাড় সৃষ্টি হয়। Apple এবং Visa-এর মধ্যে এক ধরনের “ব্লেম-গেম” (Blame Game) বা একে অপরকে দোষারোপ করার প্রবণতা দেখা গেছে। Apple-এর দাবি, তাদের সিস্টেমে বা আইফোনে কোনো ত্রুটি নেই, এটি সম্পূর্ণভাবে Visa-এর পেমেন্ট প্রোটোকল এবং সিস্টেমের দুর্বলতা। তারা জানায়, Visa-এর উচিত তাদের প্রোটোকল আপডেট করে ডেটা ইন্টিগ্রিটি (Data Integrity) নিশ্চিত করা।

অন্যদিকে, Visa-এর বক্তব্য হলো, ল্যাবরেটরিতে এই হ্যাক করে দেখানো সম্ভব হলেও বাস্তব দুনিয়ায় (Real World) এই ধরনের Relay Attack করা অত্যন্ত জটিল এবং ব্যয়বহুল। এছাড়া Visa জোর দিয়ে বলেছে যে, তাদের সিস্টেমে “Zero Liability” পলিসি রয়েছে। অর্থাৎ, যদি কোনো গ্রাহক এ ধরনের প্রতারণা বা চুরির শিকার হন, তবে ব্যাংক বা ভিসা পুরো টাকার দায়ভার নেবে এবং গ্রাহককে তার টাকা ফেরত দেওয়া হবে। তবে, টাকা ফেরত পেলেও কার্ড ব্লক করা এবং ব্যাংকের সাথে যোগাযোগ করার পুরো প্রক্রিয়াটি গ্রাহকের জন্য চরম ভোগান্তির।

কীভাবে নিজেকে সুরক্ষিত রাখবেন? (How to Protect Yourself)

এই ধরনের আক্রমণ থেকে নিজেকে সুরক্ষিত রাখার কিছু সহজ উপায় রয়েছে:

• Disable Express Transit: আপনার iPhone-এর Settings > Wallet & Apple Pay থেকে Express Transit Card ফিচারটি “None” করে দিন বা বন্ধ করে রাখুন, যদি আপনি এটি নিয়মিত ব্যবহার না করেন।
• Use an Alternative Card: যদি ট্রানজিটের জন্য এই ফিচারটি ব্যবহার করতেই হয়, তবে Visa কার্ডের বদলে Mastercard বা Amex কার্ড ডিফল্ট হিসেবে সেট করে রাখুন, কারণ সেগুলো এই দুর্বলতার শিকার হয় না।
• Be Aware of Surroundings: জনবহুল জায়গায় কেউ আপনার পকেটের খুব কাছাকাছি কোনো ডিভাইস বা ব্যাগ নিয়ে দাঁড়ালে সতর্ক থাকুন।

ভবিষ্যতের প্রযুক্তি (Future Technologies)

ভবিষ্যতে (The Future), NFC পেমেন্ট সিস্টেমগুলোকে Relay Attack থেকে সুরক্ষিত করতে UWB (Ultra-Wideband) প্রযুক্তির ব্যবহার ব্যাপকভাবে শুরু হতে পারে। UWB অত্যন্ত নিখুঁতভাবে “Time of Flight” পরিমাপ করতে পারে, যা দিয়ে নিশ্চিত করা যায় যে পেমেন্ট টার্মিনাল এবং স্মার্টফোনটি আসলেই শারীরিকভাবে একে অপরের খুব কাছে রয়েছে (Physical Proximity)। আইফোনে ইতিমধ্যে U1 চিপ (UWB) রয়েছে, যা ভবিষ্যতে Apple Pay-এর সিকিউরিটি লেয়ার হিসেবে যুক্ত হয়ে এ ধরনের দূরবর্তী Relay Attack-কে চিরতরে অসম্ভব করে তুলতে পারে। এছাড়া EMV প্রোটোকলগুলোতে মেজর আপডেট এনে ট্রানজেকশনের প্রতিটি স্ট্যাটাস ফ্ল্যাগ ক্রিপ্টোগ্রাফিকভাবে সাইন করা বাধ্যতামূলক করা সময়ের দাবি।

Conclusion (উপসংহার)

ডিজিটাল লেনদেনের যুগে Convenience (সুবিধা) এবং Security (নিরাপত্তা) এর মধ্যে সবসময় একটি সূক্ষ্ম ব্যালেন্স থাকা প্রয়োজন। আমরা চাই আমাদের পেমেন্ট সিস্টেমগুলো যেন একইসাথে দ্রুত এবং সুরক্ষিত হয়। Veritasium-এর এই ভিডিওটি এবং গবেষকদের এই আবিষ্কার আমাদের চোখে আঙুল দিয়ে দেখিয়ে দিয়েছে যে, সুবিধার খাতিরে নিরাপত্তাকে সামান্যতম অবহেলা করলে তার পরিণতি কতটা ভয়ংকর হতে পারে। প্রযুক্তি যতো উন্নত হচ্ছে, সাইবার অপরাধীদের পদ্ধতিও ততোটাই আধুনিক হচ্ছে। তাই ইউজার হিসেবে আমাদেরও সবসময় সতর্ক থাকতে হবে এবং প্রযুক্তির খুঁটিনাটি সম্পর্কে সচেতন হতে হবে।