信用卡安全漏洞再现:这次更“智能”

信用卡提供的灵活支付方式为人类活动提供了巨大的便利性。其背后隐藏的安全漏洞,受到了信息安全研究人员的高度关注。

去年,瑞士苏黎世联邦理工学院(ETHZ)的研究人员首次发现了某些信用卡的PIN码(个人识别密码)漏洞。techxplore.com网站当地时间2月23日报道,他们最近又发现了另一种“更智能”的信用卡漏洞。

使用信用卡或借记卡进行非接触式支付非常便捷。在疫情大流行期间,这种支付方式更是展现了独特的优越性。理论上,为了提高安全性,用户在完成超过一定金额的支付操作时(瑞士通常为80瑞士法郎),必须输入PIN码。

ETHZ信息安全研究人员证实,部分卡能够绕开这类安全措施。2020年夏天,研究人员首次用VISA信用卡实现了无PIN码支付。现在,研究人员发现,Mastercard和Maestro卡也存在类似漏洞。

研究人员使用的攻击方法是基于“中间人”原则设计的,即攻击者利用了卡和卡终端之间交换的数据。为了复制这种效果,研究人员使用了他们开发的Android应用程序以及两款支持近场通信(NFC)的手机。应用程序错误地向持卡人终端发出信号,表示无需PIN码就能授权支付,并且持卡人的身份已经得到验证。

最初,这种方法只对VISA卡有效,因为其他供应商使用不同的协议管理数据传输。

第二种绕过PIN码验证步骤的思路看似很简单。“我们设计的方案欺骗了终端,让它认为Mastercard卡就是VISA卡。”研究人员Jorge Toro说,“实际情况复杂得多,它必须同时运行两个会话才能奏效——卡终端执行VISA交易,而卡本身执行Mastercard交易。”

研究人员证实,四家银行发行的两种Mastercard信用卡和两种Maestro借记卡被这种方式攻破了。

事后,研究人员立即通知了Mastercard信用卡公司。Toro说:“Mastercard公司更新了相关安全措施,并要求我们再次尝试以同样的方式攻击支付流程。这一次,我们失败了。”

Toro等人将在USENIX安全研讨会上公布他们的研究成果。

研究人员在非接触式支付卡中发现的安全漏洞,主要是由EMV引起的。EMV是适用此类卡的国际协议标准。考虑到EMV冗长的规则文件,其逻辑错误是很难检测的。

ETHZ的研究人员强调,类似系统必须尽可能多地启用自动审查,因为这个过程对人类来讲,实在是太过复杂了。

科界原创

编译:德克斯特

审稿:西莫

责编:陈之涵

来源:苏黎世联邦理工学院

原文链接:https://techxplore.com/news/2021-02-flaw-credit-cards.html

版权声明:本文由科界平台原创编译,中文内容仅供参考,一切内容以英文原版为准。转载请注明来源科技工作者之家—科界App。