安基网 首页 资讯 安全报 查看内容

90亿信用卡曝出协议漏洞:黑客无需密码即可盗刷

2020-9-2 08:17| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 每次我们使用信用卡/借记卡付款时,收款机都会使用EMV通信协议来处理付款。该协议由Europay,Mastercard和Visa等公司开发,目前在全球超过90亿张卡中使用。最近,来自苏黎世联邦理工学院计算机科学系的3名研究人员,即David Basin,Ralf Sasse和Jorge Toro-Pozo发现了EMV协议中的漏洞,该漏洞使攻击者 ...

每次我们使用信用卡/借记卡付款时,收款机都会使用EMV通信协议来处理付款。该协议由Europay,Mastercard和Visa等公司开发,目前在全球超过90亿张卡中使用。

最近,来自苏黎世联邦理工学院计算机科学系的3名研究人员,即David Basin,Ralf Sasse和Jorge Toro-Pozo发现了EMV协议中的漏洞,该漏洞使攻击者可以实施中间人攻击(MITM),进行欺诈性交易。

通过一个模型来模拟商家机器、用户卡和银行的真实情况,研究人员找到2个主要漏洞。首先,他们开发了一个Android应用程序概念验证(POC)漏洞,当用于非接触式支付时,攻击者可以在不使用任何PIN码的情况下进行攻击。

该攻击能够得手的原因是持卡人验证方法中缺少身份验证和加密技术,攻击者可以根据自己的需要修改设置。例如,研究人员还成功进行了这样的交易(下图),价值190美元,可以使用自己的卡在真实商店中进行了现场测试。

第二个漏洞使攻击者诱使商家认为现场的脱机非接触式交易已成功,攻击者离开后才发现该交易已被拒绝。在他们的报告 [PDF]中,研究人员解释说:

…在使用Visa或旧的万事达卡进行的离线非接触式交易中,该卡不会向终端认证应用密码(AC),这使犯罪分子可以欺骗终端以接受未经认证的离线交易。后来,当收单行将交易数据作为清算记录的一部分提交时,发卡行将检测到错误的密码,但罪犯早已得手而去。

综上所述,可以通过直接全局更新终端系统而不是EMV协议本身来修复这2个漏洞。但是,考虑到大约有1.61亿个这样的终端,其中许多位于技术落后的国家,可能需要花费大量时间才能避免此类漏洞被犯罪分子利用。

参考资料:

The EMV Standard:Break,Fix,Verify:https://arxiv。org/pdf/2006。08249。pdf



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6867451129068782093/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
广西快3走势 青海快3 上海11选5走势 极速赛车怎么看技巧 极速赛车是国家开的吗 贵州快3代理 新利彩票计划群 极速赛车登陆 福建11选5开奖 易富彩票计划群