安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
新攻击允许绕过EMV卡PIN验证
2020-08-29 19:52:34 【

苏黎世联邦理工学院的研究人员已经确定了支付卡EMV标准实施中的漏洞,该漏洞允许发动针对持卡人和商人的攻击。

苏黎世联邦理工学院计算机科学系的David Basin,Ralf Sasse和Jorge Toro-Pozo在最新发表的论文中解释说,可以利用标准EMV实现中发现的漏洞来使PIN验证在Visa非接触式交易中无用。

EMV开发于90年代中期,并以其创始人(Europay,Mastercard和Visa)命名。EMV是智能卡支付的国际标准,已在全球80%以上的有卡交易中使用。

苏黎世联邦理工学院的研究人员说,该标准被认为是安全的,但仍然存在漏洞,这些漏洞主要来自逻辑缺陷。研究人员使用Tamarin中建立的符号模型,发现了导致两次针对持卡人或商人的攻击的缺陷。

研究人员说,第一次攻击使对手甚至可以在不知道卡PIN的情况下使用智能手机进行付款。学者们构建了一个概念验证的Android应用,该应用证明了攻击在实际场景中的有效性。

在第二次攻击中,终端将被欺骗以接受不真实的离线交易,该交易随后将被拒绝,但前提是“在罪犯将货物带走之后”。

提出的模型考虑了EMV会话中存在的所有三个元素,银行,终端和卡。该模型显示,持卡人验证方法未经过身份验证,也未采用密码保护以防止修改,因此可以使用精巧的Android应用程序绕过PIN验证。

该应用程序发动中间人攻击,告知终端PIN验证是在消费者的设备(即移动电话)上执行的,不再需要。因此,攻击者可能会在不知道卡的PIN的情况下将被盗的Visa卡用于非接触式交易。

“我们已经使用Visa信用卡,Visa Electron和VPay卡等Visa品牌卡成功地测试了真实终端上的PIN绕过攻击,以进行多项交易。研究人员解释说,由于现在消费者通常使用智能手机付款,所以收银员无法将攻击者的行为与任何合法持卡人的行为区分开。

此外,学者发现,在使用Visa或旧万事达卡的离线非接触式交易中,由于该卡未向终端验证应用密码(AC),因此可以诱骗终端接受未经验证的离线交易。当收单方提交交易数据时,错误的密码将在以后被识别。

“我们的分析显示,万事达卡和Visa的非接触式支付协议的安全性之间存在令人惊讶的差异,这表明万事达卡比Visa更安全。我们发现现代卡中运行的万事达卡协议版本没有重大问题。[…]相反,Visa面临几个关键问题,” 研究论文写道。

研究人员透露,他们仅使用自己的卡片进行实验,并且Visa已将发现的结果告知了Visa。他们还提出了银行和Visa都可以应用的修复程序,并说这些修复程序不需要更改EMV标准本身。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇服务器安全防御做好这几点,中级.. 下一篇如何使用专业软件提高数据库性能 ..

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:010-56157787 ,010-56159998
企业QQ:4000043998
技术支持:010-56159998
E-Mail:800@fangyuba.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:4000043998 01056155355
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800