非接觸式萬事達卡和Maestro卡被曝新漏洞!黑客可免密支付

Editor發表於2021-09-02

非接觸式支付,為我們生活提供了極大的便利性。然而其背後隱藏的安全漏洞,也受到了高度關注。

 

近日,蘇黎世的瑞士工程學院的研究人員發現了一個新的漏洞——非接觸式萬事達卡和Maestro密碼可以被輕鬆繞過。

此漏洞如果利用得當,黑客可以使用被入侵的萬事達卡或Maestro卡進行非接觸式支付,這意味著他們無需輸入密碼便可以完成交易。

 

那麼該操作是如何實現的呢?

非接觸式萬事達卡和Maestro卡被曝新漏洞!黑客可免密支付

首先,在兩部Android智慧手機上安裝專用軟體。一個裝置用於模擬正在安裝的銷售點終端,另一個作為一個卡片模擬器,允許將修改後的交易資訊傳輸到真正的銷售點裝置。一旦卡片啟動交易,它就會洩露所有相關資訊。

 

蘇黎世聯邦理工學院的專家稱,這是一次孤立的攻擊,之前同一個團隊成功地繞過了Visa的非接觸式支付密碼,具體是怎麼回事呢?

東方聯盟安全研究人員表示:“它是一種PIN繞行攻擊,攻擊者可以利用受害者被盜或丟失的信用卡,並且在不知道該卡PIN的情況下進行高價值購買,甚至騙過銷售(PoS)終端接受非真實的離線卡交易。”

 

目前的實驗集中在非Visa非接觸式支付協議使用的卡上的PIN繞過,但使用的都是相同的策略和已知的漏洞。該團隊能夠攔截Visa的非接觸式支付規範,並將交易方面轉移到一個真正的銷售點終端,該終端並不知道交易憑據的來源,直接驗證並確認了PIN和購卡者的身份,因此PoS也不需要進行進一步的檢查和身份鑑別流程。

 

由於這個漏洞的嚴重性及其潛在的後果難以估量,研究人員目前還沒有透露所使用應用程式的名稱。



文章來源:cnbeta




相關文章