蘇黎世聯(lián)邦理工學院的研究人員已經(jīng)確定了支付卡EMV標準實施中的漏洞,該漏洞允許發(fā)動針對持卡人和商人的攻擊�。
蘇黎世聯(lián)邦理工學院計算機科學系的David Basin,Ralf Sasse和Jorge Toro-Pozo在最新發(fā)表的論文中解釋說���,可以利用標準EMV實現(xiàn)中發(fā)現(xiàn)的漏洞來使PIN驗證在Visa非接觸式交易中無用�����。
EMV開發(fā)于90年代中期�,并以其創(chuàng)始人(Europay,Mastercard和Visa)命名���。EMV是智能卡支付的國際標準,已在全球80%以上的有卡交易中使用�����。
蘇黎世聯(lián)邦理工學院的研究人員說����,該標準被認為是安全的,但仍然存在漏洞���,這些漏洞主要來自邏輯缺陷�。研究人員使用Tamarin中建立的符號模型�����,發(fā)現(xiàn)了導致兩次針對持卡人或商人的攻擊的缺陷����。
研究人員說�,第一次攻擊使對手甚至可以在不知道卡PIN的情況下使用智能手機進行付款���。學者們構建了一個概念驗證的Android應用�,該應用證明了攻擊在實際場景中的有效性�����。
在第二次攻擊中�����,終端將被欺騙以接受不真實的離線交易����,該交易隨后將被拒絕,但前提是“在罪犯將貨物帶走之后”�。
提出的模型考慮了EMV會話中存在的所有三個元素,銀行���,終端和卡�����。該模型顯示���,持卡人驗證方法未經(jīng)過身份驗證����,也未采用密碼保護以防止修改�����,因此可以使用精巧的Android應用程序繞過PIN驗證����。
該應用程序發(fā)動中間人攻擊����,告知終端PIN驗證是在消費者的設備(即移動電話)上執(zhí)行的,不再需要����。因此,攻擊者可能會在不知道卡的PIN的情況下將被盜的Visa卡用于非接觸式交易�����。
“我們已經(jīng)使用Visa信用卡,Visa Electron和VPay卡等Visa品牌卡成功地測試了真實終端上的PIN繞過攻擊���,以進行多項交易���。研究人員解釋說,由于現(xiàn)在消費者通常使用智能手機付款��,所以收銀員無法將攻擊者的行為與任何合法持卡人的行為區(qū)分開�。
此外,學者發(fā)現(xiàn)��,在使用Visa或舊萬事達卡的離線非接觸式交易中����,由于該卡未向終端驗證應用密碼(AC),因此可以誘騙終端接受未經(jīng)驗證的離線交易�。當收單方提交交易數(shù)據(jù)時,錯誤的密碼將在以后被識別��。
“我們的分析顯示��,萬事達卡和Visa的非接觸式支付協(xié)議的安全性之間存在令人驚訝的差異���,這表明萬事達卡比Visa更安全���。我們發(fā)現(xiàn)現(xiàn)代卡中運行的萬事達卡協(xié)議版本沒有重大問題��。[…]相反�,Visa面臨幾個關鍵問題����,” 研究論文寫道。
研究人員透露�,他們僅使用自己的卡片進行實驗,并且Visa已將發(fā)現(xiàn)的結果告知了Visa���。他們還提出了銀行和Visa都可以應用的修復程序���,并說這些修復程序不需要更改EMV標準本身�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡舉報APP下載
