90億信用卡曝出協(xié)議漏洞:黑客無需密碼即可盜刷
責(zé)編:gltian |2020-09-02 14:01:38每次我們使用信用卡/借記卡付款時(shí),收款機(jī)都會(huì)使用EMV通信協(xié)議來處理付款。該協(xié)議由Europay,Mastercard和Visa等公司開發(fā),目前在全球超過90億張卡中使用。
最近,來自蘇黎世聯(lián)邦理工學(xué)院計(jì)算機(jī)科學(xué)系的3名研究人員,即David Basin,Ralf Sasse和Jorge Toro-Pozo發(fā)現(xiàn)了EMV協(xié)議中的漏洞,該漏洞使攻擊者可以實(shí)施中間人攻擊(MITM),進(jìn)行欺詐性交易。
通過一個(gè)模型來模擬商家機(jī)器、用戶卡和銀行的真實(shí)情況,研究人員找到2個(gè)主要漏洞。首先,他們開發(fā)了一個(gè)Android應(yīng)用程序概念驗(yàn)證(POC)漏洞,當(dāng)用于非接觸式支付時(shí),攻擊者可以在不使用任何PIN碼的情況下進(jìn)行攻擊。
該攻擊能夠得手的原因是持卡人驗(yàn)證方法中缺少身份驗(yàn)證和加密技術(shù),攻擊者可以根據(jù)自己的需要修改設(shè)置。例如,研究人員還成功進(jìn)行了這樣的交易(下圖),價(jià)值190美元,可以使用自己的卡在真實(shí)商店中進(jìn)行了現(xiàn)場(chǎng)測(cè)試。
第二個(gè)漏洞使攻擊者誘使商家認(rèn)為現(xiàn)場(chǎng)的脫機(jī)非接觸式交易已成功,攻擊者離開后才發(fā)現(xiàn)該交易已被拒絕。在他們的報(bào)告 [PDF]中,研究人員解釋說:
…在使用Visa或舊的萬事達(dá)卡進(jìn)行的離線非接觸式交易中,該卡不會(huì)向終端認(rèn)證應(yīng)用密碼(AC),這使犯罪分子可以欺騙終端以接受未經(jīng)認(rèn)證的離線交易。后來,當(dāng)收單行將交易數(shù)據(jù)作為清算記錄的一部分提交時(shí),發(fā)卡行將檢測(cè)到錯(cuò)誤的密碼,但罪犯早已得手而去。
綜上所述,可以通過直接全局更新終端系統(tǒng)而不是EMV協(xié)議本身來修復(fù)這2個(gè)漏洞。但是,考慮到大約有1.61億個(gè)這樣的終端,其中許多位于技術(shù)落后的國(guó)家,可能需要花費(fèi)大量時(shí)間才能避免此類漏洞被犯罪分子利用。
參考資料:
The EMV Standard:Break,F(xiàn)ix,Verify:https://arxiv.org/pdf/2006.08249.pdf
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧