新PIN验证绕过漏洞影响Visa非接触式支付

就在Visa发出关于新的JavaScript网络略读器Baka的警告之际，网络安全研究人员发现了该公司启用EMV的支付卡中的一个身份验证漏洞，该漏洞允许网络犯罪分子获取资金，并非法诈骗持卡人和商户。

这项研究由苏黎世ETH的一组学者发表，是一种PIN绕过攻击，对手可以利用受害者被盗或丢失的信用卡进行高价值购买，而不知道该卡的PIN，甚至欺骗销售点（PoS）终端接受未经验证的离线卡交易。

所有使用Visa协议的现代非接触式卡，包括Visa信用卡、Visa借记卡、Visa Electron卡和V Pay卡，都会受到安全漏洞的影响，但研究人员认为，它也可以应用于Discover和银联实施的EMV协议。然而，这个漏洞并没有影响万事达卡、美国运通和JCB。

这项研究结果将在第四十二届IEEE安全与隐私研讨会于明年五月在旧金山举行。

通过MitM攻击修改卡交易限定符

EMV（Europay、Mastercard和Visa的缩写）是广泛使用的智能卡支付国际协议标准，它要求只能从带有PIN码的信用卡中借记更大金额。


但ETH研究人员设计的设置利用了协议中的一个关键缺陷，通过安卓应用程序发起中间人（MitM）攻击，“指示终端不需要PIN验证，因为持卡人验证是在消费者的设备上进行的。”

这个问题源于这样一个事实：持卡人验证方法（CVM），用于验证试图使用信用卡或借记卡进行交易的个人是否是合法持卡人，没有密码保护，不受修改。


因此，卡交易限定符（CTQ）用于确定CVM检查的内容（如果有），可以修改交易所需的，以通知PoS终端覆盖PIN验证，并告知验证是使用持卡人的设备进行的，如智能手表或智能手机（称为消费设备持卡人验证方法或CDCVM）。

利用离线交易而不收费

此外，研究人员还发现了第二个漏洞，该漏洞涉及Visa卡或旧万事达卡进行的离线非接触式交易，使得攻击者能够在将一段名为“应用密码”（AC）的特定数据发送到终端之前对其进行更改。

离线卡通常用于直接从持卡人的银行账户支付商品和服务，无需输入PIN码。但由于这些交易没有连接到在线系统，银行需要延迟24到72小时才能使用密码确认交易的合法性，并从账户中扣除购买金额。

犯罪分子可以利用这种延迟处理机制，在发卡行因密码错误而拒绝交易时，使用他们的卡完成低价值的离线交易，而不被起诉，此外，还可以在发卡行拒绝交易时偷走交易。

研究人员说：“这构成了一种‘免费午餐’攻击，因为罪犯可以购买低价值的商品或服务，而实际上根本不会被起诉。”他们补充说，这些交易的低价值性质不太可能是“对罪犯有吸引力的商业模式”

缓解PIN绕过和脱机攻击

除了将漏洞通知Visa，研究人员还提出了三种针对协议的软件修复方案，以防止PIN绕过和离线攻击，包括使用动态数据认证（DDA）保护高价值在线交易，以及要求在所有PoS终端中使用在线密码，这会导致离线交易在线处理。

研究人员得出结论：“我们的攻击表明，PIN码对Visa非接触式交易无效，并且揭示了Mastercard和Visa的非接触式支付协议的安全性之间惊人的差异，表明Mastercard比Visa更安全。”。“这些漏洞违反了基本的安全属性，例如身份验证和其他有关已接受交易的保证。”