駭客現在可以繞過萬事達和Maestro非接觸式卡的PIN碼
蘇黎世的瑞士工程學院的研究人員發現了一個新的漏洞,非接觸式萬事達卡和Maestro密碼可以被輕鬆繞過。 該漏洞的關鍵之處在於,如果利用得當,盜賊可以使用被入侵的萬事達卡或Maestro卡進行非接觸式支付,而無需輸入密碼來完成交易。
要實現上述做法,需要首先在兩部Android智慧手機上安裝專用軟體。 一個設備用於類比正在安裝的銷售點終端,而另一個則作為一個卡片模擬器,允許將修改後的交易資訊傳輸到真正的銷售點設備。 一旦卡片啟動交易,它就會洩露所有相關信息。
蘇黎世聯邦理工學院的專家證實,這是一次孤立的攻擊,但隨著非接觸式支付方式的更多漏洞被揭開,這很容易在現實生活中被利用。 過去,同一個團隊成功地繞過了Visa的非接觸式支付密碼,研究人員你在”EMV標準:破解、修復、驗證”研究論文中詳細描述了這一實驗。
目前的實驗集中在非Visa非接觸式支付協定使用的卡上的PIN繞過,但使用的都是相同的策略和已知的漏洞。 該團隊能夠攔截Visa的非接觸式支付規範,並將交易方面轉移到一個真正的銷售點終端,該終端並不知道交易憑據的來源,直接驗證並確認了PIN和購卡者的身份,因此PoS也不需要進行進一步的檢查和身份鑒別流程。
不管是Visa、Mastercard還是Maestro,ETH都成功地進行了實驗,這並不是數以百萬計的非接觸式卡使用者所希望聽到的。 由於這個漏洞的嚴重性及其潛在的後果難以估量,研究人員沒有透露所使用的應用程式的名稱。