科学家发现一些信用卡的安全系统存在缺陷

非接触式银行卡是一种快速便捷的定期购物付款方式. 必须在 POS 机上刷卡才能进行非接触式收费.

少量可以快速简单地充电，直到, 而且扑克牌被认为是安全的，因为需要安全代码才能借记巨额资金.

其中大部分交易主要基于 EMV 通用标准, 这适用于超过 9 全球十亿张扑克牌. 尽管此后已多次修订, 高级算法存在许多可能被利用的漏洞.

不同的安全机构已经发现了通常情况下的错误, 科学家们在 苏黎世联邦理工学院 现在又推出了, 严重安全漏洞.

作为初步步骤, 数据安全教授 David Basin 与 Ralf Sasse 合作, 笔记本电脑科学部的高级研究员, 和豪尔赫·托罗·波索, 盆地聚会的博士后, 设计一个专用模型，以便他们可以检查 EMV 常见的中心部分. 他们在银行卡公司 Visa 使用的协议中发现了一个重要漏洞.

该漏洞允许欺诈者从丢失或被盗的扑克牌中获取资金, 尽管据称数量是通过输入 PIN 码来验证的.

此漏洞使欺诈者能够从丢失或被盗的扑克牌中积累财物, 无论数量是否需要通过输入 PIN 码进行认证. 托罗主要将其放置在: “为了所有的期望和职能, PIN 码在这里不起作用。”

不同的公司, 类似于 万事达卡, 美国特定, 和JCB, 不要使用相同的 Visa 协议, 所以这些扑克牌不会受到安全漏洞的影响. 尽管如此, 该缺陷可能适用于 Uncover 和银联发行的扑克牌, 它使用的协议与 Visa 非常相似.

分析师选择证明可以利用以下漏洞, 尽管这是一个真正不可预测的周期. 他们最初构建了一个 Android 软件并将其安装在两部支持 NFC 的手机上. 这允许 2 单位来仔细阅读数据 信用卡 带有收费终端的芯片和商业信息. 不料, 分析师无需回避 Android 操作系统中的任何特定安全功能即可将其添加到应用程序中.

利用第一部手机扫描消费卡中非常重要的数据，并将其传输到第二部手机，以从第三方银行卡获取未经批准的资金. 然后使用以下手机在结帐时扣除数量, 最近，持卡人的行为也相同. 由于申请者声明购物者是该银行卡的认可人, 卖家不认为交易存在欺诈行为. 关键问题是该应用程序超越了纸板的安全系统. 虽然金额超出限制并需要 PIN 确认, 没有要求代码.

在不同的销售渠道中使用银行卡, 研究人员能够证明该欺诈计划有效.

托罗说, “这种诈骗行为适用于多个国家以不同货币发行的借记卡和银行卡。”

科学家已就该漏洞向 Visa 发出警报, 同时提出选定的答案.

旅游 解释, “协议需要进行三项调整, 然后可以将其放入收费终端并使用后续软件更新. 它很可能以最小的努力来执行. 不存在想要交换扑克牌的事情, 所有调整均符合 EMV 标准。”

期刊参考:

1. 盆地等人. EMV 惯例: 休息, 维修, 确认. arXiv:2006.08249 [CR] arxiv.org/abs/2006.08249