即使Visa发出警告,称新的JavaScript Web分离器称为Baka。近日,国内知名网络安全组织东方联盟发现了该公司的EMV支持卡中的一个新缺陷,该缺陷使黑客能够非法获取资金并欺诈持卡人和商人。
东方联盟安全研究人员表示:“它是一种PIN绕行攻击,攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买,甚至骗人一点销售(PoS)终端接受非真实的离线卡交易。”
所有使用Visa协议的现代非接触式卡,包括Visa Credit,Visa Debit,Visa Electron和V Pay卡,都受到安全漏洞的影响,但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。但是,该漏洞不会影响万事达卡,美国运通和JCB。
研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行介绍。
通过MitM攻击修改卡交易资格
EMV(Europay,Mastercard和Visa的缩写),是广泛使用的智能卡支付国际协议标准,因此,只能从具有PIN码的信用卡中扣除较大的金额。
但是由ETH研究人员设计的设置利用协议中的一个严重缺陷,通过Android应用发起了中间人(MitM)攻击,该应用“指示终端不需要PIN验证,因为持卡人验证是在消费者的设备。”
该问题源于以下事实:持卡人验证方法(CVM)并未受到密码保护,无法修改,该方法用于验证使用信用卡或借记卡进行交易的个人是否为合法持卡人。
结果,可以修改用于确定交易所需的CVM检查(如果有的话)的卡交易资格证明(CTQ),以通知PoS终端覆盖PIN验证,并且验证是使用持卡人的设备进行的例如智能手表或智能手机(称为消费设备持卡人验证方法或CDCVM)。
利用离线交易而无需付费
此外,东方联盟研究人员还发现了第二个漏洞,该漏洞涉及由Visa或旧的万事达卡进行的离线非接触式交易,从而使攻击者能够在将特定的数据称为“应用程序密码”(AC)传输到密钥之前进行更改。
离线卡通常用于直接从持卡人的银行帐户中支付商品和服务,而无需PIN码。但是,由于这些交易未连接到在线系统,因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟,然后从帐户中扣除购买金额。
罪犯可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用,此外,在发卡银行由于密码错误而拒绝交易之前,还可以取消购买。
缓解PIN绕过和离线攻击
除了告知Visa缺陷外,研究人员还提出了对该协议的三项软件修复,以防止PIN绕过和离线攻击,包括使用动态数据身份验证(DDA)来保护高价值的在线交易,并要求在其中使用在线密码。所有PoS终端,这导致脱机交易被在线处理。
研究人员总结说:“我们的攻击表明,PIN对Visa非接触式交易毫无用处,并且揭示了万事达和Visa的非接触式支付协议的安全性之间令人惊讶的差异,这表明万事达比Visa更安全。” “这些缺陷违反了基本的安全属性,例如身份验证和有关已接受交易的其他保证。” (欢迎转载分享)