瑞士苏黎世联邦理工学院的研究人员发现了Visa支付卡协议标准EMV中的安全漏洞,攻击者利用该漏洞可以绕过Visa无接触支付交易所需的PIN码。也就是说,如果犯罪分子拥有窃取的Visa无接触支付卡,就可以用来刷卡支付,而且无需输入卡的PIN码。而且整个攻击是非常隐蔽的,很容易会被误认为是客户使用智能手机上安装的手机银行或数字钱包进行支付。
1
攻击原理
研究人员称,成功攻击需要4个部分:2个安卓手机、一个特殊的App(研究人员开发的)和一个Visa无接触支付卡。安卓App需要安装在2个智能手机上,分别进行卡和POS机的模拟。
攻击的主要思想是POS机模拟器要求卡进行支付、修改交易细节,然后通过WiFi发送修改后的数据到第二个智能手机进行无需提供PIN码的大额支付。因为攻击者已经修改了交易数据,所以无需输入PIN码。
App并非恶意程序,无需root权限,研究人员在pixel和华为设备上都进行了测试。
2
漏洞分析
研究人员分析称,攻击能够成功的原因是Visa无接触支付协议和EMV标准中的设计漏洞。攻击者利用这些漏洞可以对无接触支付交易中的数据进行修改,包括控制交易详情的域和卡所有者是否经过验证。
联系我时,请说是在找找去看到的,谢谢!