959网络
您的位置:网站首页 > 网络安全 > 正文

90亿信用卡曝出协议漏洞:黑客无需密码就能盗刷

作者:habao 来源: 日期:2021-7-7 19:59:47 人气: 标签:黑客密码

  最近,来自苏黎世联邦理工学院计算机科学系的3名研究人员,即David Basin、Ralf Sasse和Jorge Toro-Pozo发现了EMV协议中的漏洞,该漏洞使者可以实施中间人(MITM),进行欺诈易。

  通过一个模型来模拟商家机器、用户卡和银行的线个主要漏洞。首先,他们开发了一个Android应用程序概念验证(POC)漏洞,当用于非接触式支付时,者可以在不使用任何PIN码的情况下进行。

  该能够得手的原因是持卡人验证方法中缺少身份验证和加密技术,者可以根据自己的需要修改设置。例如,研究人员还成功进行了这样的交易(下图),价值190美元,可以使用自己的卡在真实商店中进行了现场测试。

  第二个漏洞使者诱使商家认为现场的脱机非接触式交易已成功,者离开后才发现该交易已被。在他们的报告PDF中,研究人员解释说:

  在使用Visa或旧的万事达卡进行的离线非接触式交易中,该卡不会向终端认证应用密码(AC),这使犯罪可以终端以接受未经认证的离线交易。后来,当收单行将交易数据作为清算记录的一部分提交时,发卡行将检测到错误的密码,但罪犯早已得手而去。

  综上所述,可以通过直接全局更新终端系统而不是EMV协议本身来修复这2个漏洞。但是,考虑到大约有1.61亿个这样的终端,其中许多位于技术落后的国家,可能需要花费大量时间才能避免此类漏洞被犯罪利用。村欲情史

  

读完这篇文章后,您心情如何?
0
0
0
0
0
0
0
0
本文网址:
下一篇:没有资料