非接觸式萬事達卡和Maestro卡被曝新漏洞！黑客可免密支付

非接觸式支付，為我們生活提供了極大的便利性。然而其背後隱藏的安全漏洞，也受到了高度關注。

近日，蘇黎世的瑞士工程學院的研究人員發現了一個新的漏洞——非接觸式萬事達卡和Maestro密碼可以被輕鬆繞過。

此漏洞如果利用得當，黑客可以使用被入侵的萬事達卡或Maestro卡進行非接觸式支付，這意味著他們無需輸入密碼便可以完成交易。

那麼該操作是如何實現的呢？

首先，在兩部Android智慧手機上安裝專用軟體。一個裝置用於模擬正在安裝的銷售點終端，另一個作為一個卡片模擬器，允許將修改後的交易資訊傳輸到真正的銷售點裝置。一旦卡片啟動交易，它就會洩露所有相關資訊。

蘇黎世聯邦理工學院的專家稱，這是一次孤立的攻擊，之前同一個團隊成功地繞過了Visa的非接觸式支付密碼，具體是怎麼回事呢？

東方聯盟安全研究人員表示：“它是一種PIN繞行攻擊，攻擊者可以利用受害者被盜或丟失的信用卡，並且在不知道該卡PIN的情況下進行高價值購買，甚至騙過銷售（PoS）終端接受非真實的離線卡交易。”

目前的實驗集中在非Visa非接觸式支付協議使用的卡上的PIN繞過，但使用的都是相同的策略和已知的漏洞。該團隊能夠攔截Visa的非接觸式支付規範，並將交易方面轉移到一個真正的銷售點終端，該終端並不知道交易憑據的來源，直接驗證並確認了PIN和購卡者的身份，因此PoS也不需要進行進一步的檢查和身份鑑別流程。

由於這個漏洞的嚴重性及其潛在的後果難以估量，研究人員目前還沒有透露所使用應用程式的名稱。

文章來源：cnbeta