苏黎世联邦理工学院的研究人员发现了支付卡EMV标准的实现中的漏洞,攻击者可利用漏洞对持卡人和商户发起攻击。
在一篇最新发表的论文中,来自苏黎世联邦理工学院计算机科学系的David Basin,Ralf Sasse和Jorge Toro-Pozo解释称,攻击者可利用在标准EMV实现中发现的漏洞造成PIN码验证在Visa非接触式交易中无效。
EMV开发于90年代中期,以其创始单位的名称(Europay,Mastercard和Visa)命名。EMV是智能卡支付的国际标准,全球超过80%的有卡交易都使用该标准。
苏黎世联邦理工学院的研究人员表示,该标准被认为是安全的,但仍然存在漏洞,漏洞主要源于逻辑错误。利用Tamarin中内置的符号链接模型,研究人员发现了可导致针对持卡人或商户的双重攻击的漏洞。
研究人员说,第一次攻击允许攻击者在不知道卡PIN码的情况下使用智能手机付款购物。研究人员创建了一个PoC Android应用,证明该攻击在实际场景中的有效性。
在第二次攻击中,终端可被诱骗接受非真实的离线交易,该交易随后会被拒绝,但却仅“在犯罪分子将商品带走之后”。
研究人员提议的模型考虑了EMV会话中存在的所有三个元素,银行,终端和卡。该模型显示持卡人验证方法未经过身份验证,也未采用加密保护以防止修改,因此可以使用特制的Android应用程序绕过PIN码验证。
该应用发起中间人攻击,告诉终端PIN码验证已在消费者的设备(即移动电话)上执行,不再需要PIN码验证。因此,攻击者可以在不知道卡片的PIN码的情况下利用窃取的Visa卡进行非接触式交易。
研究人员解释称,“我们已经使用Visa品牌卡片,例如Visa Credit、Visa Electron和VPay卡,成功地在真实的终端上测试了我们的PIN码绕过攻击,进行了许多交易。由于现在消费者普遍使用智能手机支付,收银员无法辨别攻击者的行为和合法持卡人的行为。”
此外,研究人员发现,在使用Visa或旧的Mastercard卡的离线非接触式交易中,由于该卡未向终端验证应用密码(AC),该终端可被诱骗接受非真实的离线交易。很久之后,当收单机构提交交易数据时,错误的密码才会被识别。
该篇研究论文写道,“我们的分析显示Mastercard和Visa的非接触式支付协议的安全性差异令人吃惊,表明Mastercard比Visa更安全。我们未在当代卡片中运行的Mastercard协议版本发现重大问题。相反,Visa存在多个严重的问题。”
研究人员透露,他们仅使用自己的卡片开展实验,并且已经通知Visa他们的发现。他们同时提议了银行和Visa都可以应用的补丁,并表示这些补丁不需要修改EMV标准本身。
————————————————————————————————————-
消息来源Security Week;转载请注明出处。
关注群智分析平台公众号,获取资讯《Cisco就运营商级别路由器中的漏洞遭到利用发布警告》。
来源:freebuf.com 2020-09-01 15:18:58 by: 偶然路过的围观群众
请登录后发表评论
注册