新的 PIN 验证绕过漏洞影响 Visa 非接触式支付

　　就在Visa对一款名为Baka的新型JavaScript网络掠取器发出警告之际，网络安全研究人员发现了该公司支持EMV的信用卡中的一个新缺陷，该漏洞使攻击者能够非法获取资金并诈骗持卡人和商户。

　　这项研究是由苏黎世联邦理工学院的一群学者发表的，它是一种PIN绕行攻击，攻击者可以利用受害者的被盗或丢失的信用卡在不知道该卡PIN的情况下进行高价值购买，甚至骗人一点销售(PoS)终端接受非真实的离线卡交易。

　　所有使用Visa协议的现代非接触式卡，包括Visa Credit，Visa Debit，Visa Electron和V Pay卡，都受到安全漏洞的影响，但研究人员认为它可以应用于Discover和UnionPay实施的EMV协议。然而，这个漏洞并不影响万事达、美国运通和JCB。

　　研究结果将在明年5月于旧金山举行的第42届IEEE 安全和隐私研讨会上进行展示。

　　通过MitM攻击修改卡交易资格

　　EMV(Europay、Mastercard和Visa的缩写)是广泛使用的智能卡支付的国际协议标准，它要求较大的金额只能从带有PIN码的信用卡中借记。

　　但ETH研究人员设计的设置利用了协议中的一个关键缺陷，通过Android应用程序发起中间人(MitM)攻击，“指示终端不需要PIN验证，因为持卡人验证是在消费者的设备上进行的。”

　　这个问题源于这样一个事实：持卡人验证方法(CVM)没有加密保护以防止修改，该方法用于验证尝试使用信用卡或借记卡进行交易的个人是否是合法持卡人。

　　所以，可以修改用于确定交易所需的CVM检查(如果有的话)的卡交易资格证明(CTQ)，以通知PoS终端覆盖PIN验证，并且验证是使用持卡人的设备进行的例如智能手表或智能手机(称为消费设备持卡人验证方法或CDCVM)。

　　利用离线交易而无需付费

　　此外，研究人员还发现了第二个漏洞，该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易，使得攻击者能够在数据被传送到终端之前修改一个名为“应用密码”(AC)的特定数据。

　　离线卡通常用于直接从持卡人的银行帐户中支付商品和服务，而无需PIN码。但是，由于这些交易未连接到在线系统，因此在银行使用密码确认交易的合法性之前会有24到72个小时的延迟，然后从帐户中扣除购买金额。

　　攻击者可以利用这种延迟的处理机制来使用他们的卡来完成低价值的离线交易而无需支付费用，此外，在发卡银行由于密码错误而拒绝交易之前，还可以取消购买。

　　研究人员说：“这构成了“免费午餐”攻击，因为罪犯可以购买低价值的商品或服务而根本不收取任何费用，”他补充说，这些交易的低价值性质不太可能是“有吸引力的业务”。罪犯的榜样。”

　　缓解PIN绕过和离线攻击

　　除了向Visa国际组织通报缺陷外，研究人员还提出了三种软件修复方案，以防止PIN绕过和离线攻击，包括使用动态数据认证(DDA)保护高价值的在线交易，以及要求所有PoS终端使用在线密码，这会导致脱机事务被联机处理。

　　研究人员得出结论：“我们的攻击表明，PIN对Visa非接触式交易毫无用处，而且揭示了Mastercard和Visa的非接触式支付协议的安全性存在惊人的差异，表明万事达卡比Visa更安全。”这些缺陷违反了基本的安全属性，比如身份验证和有关已接受交易的其他保证。”