90億信用卡曝出協議漏洞:黑客無需密碼即可盜刷
每次我們使用信用卡/借記卡付款時,收款機都會使用EMV通信協議來處理付款。該協議由Europay、Mastercard和Visa等公司開發,目前在全球超過90億張卡中使用。
最近,來自蘇黎世聯邦理工學院計算機科學系的3名研究人員,即David Basin、Ralf Sasse和Jorge Toro-Pozo發現了EMV協議中的漏洞,該漏洞使攻擊者可以實施中間人攻擊(MITM),進行欺詐性交易。
通過一個模型來模擬商家機器、用戶卡和銀行的真實情況,研究人員找到2個主要漏洞。首先,他們開發了一個Android應用程序概念驗證(POC)漏洞,當用于非接觸式支付時,攻擊者可以在不使用任何PIN碼的情況下進行攻擊。
該攻擊能夠得手的原因是持卡人驗證方法中缺少身份驗證和加密技術,攻擊者可以根據自己的需要修改設置。例如,研究人員還成功進行了這樣的交易(下圖),價值190美元,可以使用自己的卡在真實商店中進行了現場測試。
第二個漏洞使攻擊者誘使商家認為現場的脫機非接觸式交易已成功,攻擊者離開后才發現該交易已被拒絕。在他們的報告PDF中,研究人員解釋說:
在使用Visa或舊的萬事達卡進行的離線非接觸式交易中,該卡不會向終端認證應用密碼(AC),這使犯罪分子可以欺騙終端以接受未經認證的離線交易。后來,當收單行將交易數據作為清算記錄的一部分提交時,發卡行將檢測到錯誤的密碼,但罪犯早已得手而去。
綜上所述,可以通過直接全局更新終端系統而不是EMV協議本身來修復這2個漏洞。但是,考慮到大約有1.61億個這樣的終端,其中許多位于技術落后的國家,可能需要花費大量時間才能避免此類漏洞被犯罪分子利用。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
