非接触式万事达卡和Maestro卡被曝新漏洞！黑客可免密支付

看雪学院 · 发表于 2021-9-2 17:59:00

非接触式支付，为我们生活提供了极大的便利性。然而其背后隐藏的安全漏洞，也受到了高度关注。

近日，苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞——非接触式万事达卡和Maestro密码可以被轻松绕过。

此漏洞如果利用得当，黑客可以使用被入侵的万事达卡或Maestro卡进行非接触式支付，这意味着他们无需输入密码便可以完成交易。

那么该操作是如何实现的呢？

首先，在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端，另一个作为一个卡片模拟器，允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易，它就会泄露所有相关信息。

苏黎世联邦理工学院的专家称，这是一次孤立的攻击，之前同一个团队成功地绕过了Visa的非接触式支付密码，具体是怎么回事呢？

东方联盟安全研究人员表示：“它是一种PIN绕行攻击，攻击者可以利用受害者被盗或丢失的信用卡，并且在不知道该卡PIN的情况下进行高价值购买，甚至骗过销售（PoS）终端接受非真实的离线卡交易。”

目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过，但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范，并将交易方面转移到一个真正的销售点终端，该终端并不知道交易凭据的来源，直接验证并确认了PIN和购卡者的身份，因此PoS也不需要进行进一步的检查和身份鉴别流程。

由于这个漏洞的严重性及其潜在的后果难以估量，研究人员目前还没有透露所使用应用程序的名称。

文章来源：cnbeta

推荐文章++++

* 微软正式宣布Win 11升级时间，仍缺少一个最关键功能

* 曾勒索卡普空的黑客组织解散，并向受害者免费公布密钥

* 德国医疗巨头输液泵存在安全漏洞，迈克菲发布研究报告

* 苹果最终屈服，允许开发商在App Store之外提供支付方式

* 涉案金额14亿，躲在加密货币后的传销套路

* 巴林政府监控人权活动家，间谍软件实现零点击感染

* 知名游戏外设公司雷蛇爆0day漏洞，键鼠成为攻击工具

﹀

公众号ID：ikanxue