當心！信用卡安全漏洞再現，而且更“智能”_風聞

研究人員最近發現了另一種“更智能”的信用卡漏洞。

信用卡提供的靈活支付方式為人類活動提供了巨大的便利性。其背後隱藏的安全漏洞，受到了信息安全研究人員的高度關注。

去年，瑞士蘇黎世聯邦理工學院（ETHZ）的研究人員首次發現了某些信用卡的PIN碼（個人識別密碼）漏洞。techxplore.com網站當地時間2月23日報道，他們最近又發現了另一種“更智能”的信用卡漏洞。

使用信用卡或借記卡進行非接觸式支付非常便捷。在疫情大流行期間，這種支付方式更是展現了獨特的優越性。理論上，為了提高安全性，用户在完成超過一定金額的支付操作時（瑞士通常為80瑞士法郎），必須輸入PIN碼。

ETHZ信息安全研究人員證實，部分卡能夠繞開這類安全措施。2020年夏天，研究人員首次用VISA信用卡實現了無PIN碼支付。現在，研究人員發現，Mastercard和Maestro卡也存在類似漏洞。

研究人員使用的攻擊方法是基於“中間人”原則設計的，即攻擊者利用了卡和卡終端之間交換的數據。為了複製這種效果，研究人員使用了他們開發的Android應用程序以及兩款支持近場通信（NFC）的手機。應用程序錯誤地向持卡人終端發出信號，表示無需PIN碼就能授權支付，並且持卡人的身份已經得到驗證。

最初，這種方法只對VISA卡有效，因為其他供應商使用不同的協議管理數據傳輸。

第二種繞過PIN碼驗證步驟的思路看似很簡單。“我們設計的方案欺騙了終端，讓它認為Mastercard卡就是VISA卡。”研究人員Jorge Toro説，“實際情況複雜得多，它必須同時運行兩個會話才能奏效——卡終端執行VISA交易，而卡本身執行Mastercard交易。”

研究人員證實，四家銀行發行的兩種Mastercard信用卡和兩種Maestro借記卡被這種方式攻破了。

事後，研究人員立即通知了Mastercard信用卡公司。Toro説：“Mastercard公司更新了相關安全措施，並要求我們再次嘗試以同樣的方式攻擊支付流程。這一次，我們失敗了。”

Toro等人將在USENIX安全研討會上公佈他們的研究成果。

研究人員在非接觸式支付卡中發現的安全漏洞，主要是由EMV引起的。EMV是適用此類卡的國際協議標準。考慮到EMV冗長的規則文件，其邏輯錯誤是很難檢測的。

ETHZ的研究人員強調，類似系統必須儘可能多地啓用自動審查，因為這個過程對人類來講，實在是太過複雜了。

編譯：德克斯特

審稿：西莫

責編：陳之涵

期刊來源：蘇黎世聯邦理工學院

原文鏈接：

https://techxplore.com/news/2021-02-flaw-credit-cards.html

版權聲明：本文為原創編譯，中文內容僅供參考，一切內容以英文原版為準。轉載請註明來源。

轉載本公號內容請聯繫授權

[email protected]