非接触式万事达卡和Maestro卡被曝新漏洞!黑客可免密支付
非接触式支付,为我们生活提供了极大的便利性。然而其背后隐藏的安全漏洞,也受到了高度关注。
近日,苏黎世的瑞士工程学院的研究人员发现了一个新的漏洞——非接触式万事达卡和Maestro密码可以被轻松绕过。
此漏洞如果利用得当,黑客可以使用被入侵的万事达卡或Maestro卡进行非接触式支付,这意味着他们无需输入密码便可以完成交易。
首先,在两部Android智能手机上安装专用软件。一个设备用于模拟正在安装的销售点终端,另一个作为一个卡片模拟器,允许将修改后的交易信息传输到真正的销售点设备。一旦卡片启动交易,它就会泄露所有相关信息。
目前的实验集中在非Visa非接触式支付协议使用的卡上的PIN绕过,但使用的都是相同的策略和已知的漏洞。该团队能够拦截Visa的非接触式支付规范,并将交易方面转移到一个真正的销售点终端,该终端并不知道交易凭据的来源,直接验证并确认了PIN和购卡者的身份,因此PoS也不需要进行进一步的检查和身份鉴别流程。
由于这个漏洞的严重性及其潜在的后果难以估量,研究人员目前还没有透露所使用应用程序的名称。但是若无法保证安全性,再便捷的支付方式也将毫无意义。随着信息技术的发展,黑客的技术能力同样与日俱增,相关企业单位在着力于新支付方式的开拓过程中,应当把支付安全放在首位,要对其进行全面的安全测试。同时面对新出现的安全风险,也应该在最短的时间内调配资源进行漏洞修复,加强防护。