苏黎世瑞士工程学??院的研究人员发现了一个新漏洞,可以轻松绕过非接触式Mastercard和MaestroPIN。该漏洞的症结在于,如果利用得当,窃贼可以使用受损的万事达卡或Maestro卡进行非接触式支付,而无需输入PIN码来完成交易。要实现上述方法,首先需要在两部安卓智能手机上安装专门的软件。一个设备用于模拟正在安装的销售点终端,而另一个用作卡模拟器,允许将修改后的交易信息传输到真实的销售点设备。一旦卡发起交易,它就会显示所有相关信息。苏黎世联邦理工学院的专家证实这是一次孤立的攻击,但随着非接触式支付方式中更多漏洞被发现,它很容易在现实生活中被利用。过去,同一个团队曾成功绕过Visa的非接触式支付密码,研究人员尤在“EMV标准:破解、修复、验证”研究论文中详细介绍了一项实验。目前的实验主要集中在非Visa非接触式支付协议使用的卡上的PIN绕过,但都使用相同的策略和已知漏洞。该团队能够拦截Visa的非接触式支付规范,并将交易方面转移到一个真正的销售点终端,该终端不知道交易凭证的来源,直接验证并确认PIN和卡购买者的身份,因此PoS不再进一步需要进行检查和识别过程。无论是Visa、Mastercard还是Maestro,ETH都试验成功,这不是数百万非接触式卡用户想听到的。由于漏洞的严重性及其潜在后果,研究人员没有透露所使用的应用程序的名称。
