每次我们使用信用卡/借记卡支付时,收银机都会使用EMV通信协议来处理支付。该协议由Europay、Mastercard和Visa等公司开发,目前在全球超过90亿张卡上使用。最近,苏黎世联邦理工学院计算机科学系的三位研究人员,即DavidBasin、RalfSasse和JorgeToro-Pozo发现了EMV协议中的一个漏洞,该漏洞允许攻击者执行中间人攻击(MITM)以进行欺诈性交易。通过一个模拟商户机器、用户卡和银行真实情况的模型,研究人员发现了2个主要漏洞。首先,他们在Android应用程序中开发了一个概念验证(POC)漏洞,当用于非接触式支付时,攻击者无需使用任何PIN码即可利用该漏洞。这种攻击有效的原因是由于持卡人验证方法中缺乏身份验证和加密,攻击者可以根据需要修改设置。例如,研究人员还成功地进行了这样一笔交易(下图),价值190美元,使用他们自己的卡在真实商店进行实地测试。第二个漏洞允许攻击者诱使商户认为现场的离线非接触式交易已经成功,但在攻击者离开后才发现交易已被拒绝。在他们报告的PDF文件中,研究人员解释说:“在使用Visa或旧万事达卡的离线非接触式交易中,该卡不会向终端验证应用程序密码(AC),这允许犯罪分子诱骗终端接受未经验证的离线transactions.稍后,当收单行将交易数据作为清算记录的一部分提交时,发卡行会检测到错误的PIN,但犯罪分子会消失。综上所述,这2个漏洞可以通过直接全局更新端系统来修复而不是EMV协议本身。但是,考虑到大约有1.61亿个这样的端点,其中许多位于技术落后的国家,这些漏洞被犯罪分子利用可能需要很长时间。[本文为原创专栏作家“安安牛”文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看更多好文作者的les
