英國安全研究人員發(fā)現(xiàn)VISA無線支付漏洞
責(zé)編:admin |2014-11-06 16:29:35最近,英國Newcastle大學(xué)的安全研究員在VISA的非接觸式付款卡中發(fā)現(xiàn)了一個(gè)安全漏洞,利用該漏洞攻擊者只需使用手機(jī)就可以從別人的錢包里偷取大量現(xiàn)金。
非接觸式支付卡使用的是加密芯片(cryptoprocessor)和RFID技術(shù)來進(jìn)行無線支付,而不需要向傳統(tǒng)的付款方式那樣要把銀行卡插進(jìn)讀卡器才能完成付款。一部具有NFC功能的手機(jī)就可以實(shí)現(xiàn)非接觸支付。
在英國,這種非接觸卡有20英鎊的購買額度限制。在購物時(shí),用戶無須輸入PIN密碼而直接刷過即可付款。但是該非接觸式銀行卡中存在一個(gè)漏洞——不能識(shí)別外幣交易,因此網(wǎng)絡(luò)犯罪者可能會(huì)利用這一漏洞進(jìn)行非法轉(zhuǎn)賬,并且非法轉(zhuǎn)賬的金額最高可達(dá)到999,999.99美元。
研究人員在第21屆安全通信和計(jì)算機(jī)會(huì)議上,詳細(xì)介紹了這一攻擊過程:攻擊者通過手機(jī)上安裝的POS終端,預(yù)先設(shè)置好轉(zhuǎn)賬金額,再把手機(jī)靠近受害者的錢包即可進(jìn)行非法轉(zhuǎn)賬。
該項(xiàng)目的首席研究員在研究結(jié)果聲明中稱,攻擊者只需一個(gè)安裝了POS終端的手機(jī)即可完成巨額的轉(zhuǎn)賬,而無需在交易終端進(jìn)行。但專家們擔(dān)心的是,犯罪分子可能會(huì)利用這個(gè)漏洞以小額的方式進(jìn)行轉(zhuǎn)賬,這樣就既可以竊取到錢財(cái)又很難被追查的到。
以上內(nèi)容聽起來很可怕對吧,但是還有一個(gè)好消息就是該項(xiàng)發(fā)現(xiàn)目前只是處在實(shí)驗(yàn)階段,還沒有應(yīng)用到實(shí)際中去。
據(jù)英國廣播公司報(bào)道,Visa歐洲聲稱:“我們已經(jīng)審閱了Newcastle大學(xué)調(diào)查結(jié)果,我們會(huì)繼續(xù)專注我們的安全并全力打擊這種欺詐支付手段。另外,這種研究并沒有考慮到Vias有多種保障機(jī)制,該項(xiàng)發(fā)現(xiàn)在實(shí)驗(yàn)室之外是很難完成的。”
Vias歐洲也同時(shí)表示,該公司正在更新保障機(jī)制,并且會(huì)增加在線支付交易身份驗(yàn)證,使得這種攻擊更難進(jìn)行。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧