Credit:CC0 Public Domain在去年首次发现某些信用卡存在漏洞后,ETH的研究人员现在找到了一种比其他支付卡的PIN码更聪明的方法。用信用卡或彼得t卡进行非接触式支付既快捷又简单,而且在当前的大流行期间特别有用。为了增加安全性,用户必须输入高于一定金额的个人识别码(在瑞士通常为80瑞士法郎)——至少理论上是这样。正如苏黎世联邦理工学院信息安全组的三名研究人员能够证明的那样,这些安全措施可以通过某些卡绕过。研究人员第一次能够记录在没有个人识别码的情况下如何使用信用卡是在2020年夏天,使用的是维萨卡。该团队现在已经透露,其他类型的支付卡,即万事达卡和迈斯卓卡,可能会有另一种绕过。
研究人员使用的方法基于“中间人”原则,攻击者利用两个通信伙伴(在本例中是卡和卡终端)之间交换的数据。为了复制这种效果,研究人员使用了他们创建的安卓应用程序和两部支持NFC的手机。该应用程序错误地向卡终端发出信号,表示授权支付不需要个人识别码,并且卡所有者的身份已经过验证。最初,这种方法只适用于VISA卡,因为其他提供商使用不同的协议(一种管理数据传输的协议)。
信用:苏黎世联邦理工学院的安全措施在两个方面智胜一筹
乍一看,绕过个人识别码验证步骤背后的第二个想法似乎很简单:“我们的方法欺骗终端,使其认为万事达卡是维萨卡,”在信息安全小组工作的豪尔赫·托洛解释说,他是这篇研究论文的作者之一。Toro继续补充说,现实比听起来复杂得多,两个会话必须同时运行才能工作:卡终端执行VISA交易,而卡本身执行万事达卡交易。研究人员在四家不同银行发行的两张万事达信用卡和两张迈斯卓借记卡上使用了这些方法。
研究人员在发现后立即通知了万事达卡。他们能够通过实验证实万事达卡采取的防御措施是有效的。“在这方面与公司合作既愉快又令人兴奋,”托罗解释道。万事达更新了相关保障措施,要求研究人员再次尝试以同样的方式攻击支付流程,这次失败了。研究人员将在8月份的USENIX安全21研讨会上提交他们的论文,全面概述这种方法。
作为误差来源的EMV标准
在非接触式支付卡中发现的安全缺陷主要是由于适用于此类卡的国际协议标准EMV。这套规则中的逻辑错误很难被发现,尤其是考虑到标准长度超过2000页。ETH的研究人员在他们的项目网站上强调,这种系统必须越来越多地自动审查,因为这个过程对人类来说太复杂了。
来源:由phyica.com整理转载自PH,转载请保留出处和链接!
