蘇黎世的瑞士工程學院的研究人員發現了一個新的漏洞,非接觸式萬事達卡和Maestro密碼可以被輕鬆繞過。該漏洞的關鍵之處在於,如果利用得當,盜賊可以使用被入侵的萬事達卡或Maestro卡進行非接觸式支付,而無需輸入密碼來完成交易。
要實現上述做法,需要首先在兩部Android智能手機上安裝專用軟件。一個設備用於模擬正在安裝的銷售點終端,而另一個則作為一個卡片模擬器,允許將修改後的交易信息傳輸到真正的銷售點設備。一旦卡片啟動交易,它就會泄露所有相關信息。
蘇黎世聯邦理工學院的專家證實,這是一次孤立的攻擊,但隨着非接觸式支付方式的更多漏洞被揭開,這很容易在現實生活中被利用。過去,同一個團隊成功地繞過了Visa的非接觸式支付密碼,研究人員你在”EMV標準:破解、修復、驗證”研究論文中詳細描述了這一實驗。
目前的實驗集中在非Visa非接觸式支付協議使用的卡上的PIN繞過,但使用的都是相同的策略和已知的漏洞。該團隊能夠攔截Visa的非接觸式支付規範,並將交易方面轉移到一個真正的銷售點終端,該終端並不知道交易憑據的來源,直接驗證並確認了PIN和購卡者的身份,因此PoS也不需要進行進一步的檢查和身份鑒別流程。
不管是Visa、Mastercard還是Maestro,ETH都成功地進行了實驗,這並不是數以百萬計的非接觸式卡用戶所希望聽到的。由於這個漏洞的嚴重性及其潛在的後果難以估量,研究人員沒有透露所使用的應用程序的名稱。