BITGET交易所官网
信用卡提供的灵活支付方式为人类活动提供了巨大的便利性。其背后隐藏的安全漏洞,受到了信息安全研究人员的高度关注。
去年,瑞士苏黎世联邦理工学院(ETHZ)的研究人员首次发现了某些信用卡的PIN码(个人识别密码)漏洞。techxplore.com网站当地时间2月23日报道,他们最近又发现了另一种“更智能”的信用卡漏洞。
使用信用卡或借记卡进行非接触式支付非常便捷。在疫情大流行期间,这种支付方式更是展现了独特的优越性。理论上,为了提高安全性,用户在完成超过一定金额的支付操作时(瑞士通常为80瑞士法郎),必须输入PIN码。
ETHZ信息安全研究人员证实,部分卡能够绕开这类安全措施。2020年夏天,研究人员首次用VISA信用卡实现了无PIN码支付。现在,研究人员发现,Mastercard和Maestro卡也存在类似漏洞。
研究人员使用的攻击方法是基于“中间人”原则设计的,即攻击者利用了卡和卡终端之间交换的数据。为了复制这种效果,研究人员使用了他们开发的Android应用程序以及两款支持近场通信(NFC)的手机。应用程序错误地向持卡人终端发出信号,表示无需PIN码就能授权支付,并且持卡人的身份已经得到验证。
最初,这种方法只对VISA卡有效,因为其他供应商使用不同的协议管理数据传输。
第二种绕过PIN码验证步骤的思路看似很简单。“我们设计的方案欺骗了终端,让它认为mastercard卡就是visa卡。”研究人员Jorge Toro说,“实际情况复杂得多,它必须同时运行两个会话才能奏效——卡终端执行visa交易,而卡本身执行mastercard交易。”
研究人员证实,四家银行发行的两种mastercard信用卡和两种Maestro借记卡被这种方式攻破了。
事后,研究人员立即通知了mastercard信用卡公司。Toro说:“mastercard公司更新了相关安全措施,并要求我们再次尝试以同样的方式攻击支付流程。这一次,我们失败了。”
Toro等人将在USENIX安全研讨会上公布他们的研究成果。
研究人员在非接触式支付卡中发现的安全漏洞,主要是由EMV引起的。EMV是适用此类卡的国际协议标准。考虑到EMV冗长的规则文件,其逻辑错误是很难检测的。
ETHZ的研究人员强调,类似系统必须尽可能多地启用自动审查,因为这个过程对人类来讲,实在是太过复杂了。