[[383304]]

最近兩天，網(wǎng)絡(luò)安全研究人員披露了一種新的攻擊方式，攻擊者可以欺騙銷(xiāo)售終端，讓其把萬(wàn)事達(dá)非接觸式卡誤認(rèn)為是Visa卡，從而進(jìn)行交易。

該研究報(bào)告是由蘇黎世聯(lián)邦理工學(xué)院的一群學(xué)者發(fā)表的，該研究報(bào)告是建立在去年9月進(jìn)行的一項(xiàng)詳細(xì)研究的基礎(chǔ)上的，該研究涉及PIN繞過(guò)攻擊，使攻擊者可以利用受害者的被盜或丟失的基于EMV技術(shù)的信用卡來(lái)發(fā)起攻擊，甚至欺騙終端接受未經(jīng)認(rèn)證的離線(xiàn)卡交易。你可以理解 EMV 是指支持 EMV 技術(shù)的卡和刷卡機(jī)，由于EMV 刷卡機(jī)總歸要接入到商戶(hù)的系統(tǒng)中( POS 機(jī))，其讀取的卡信息會(huì)經(jīng)過(guò)商戶(hù)的系統(tǒng)( POS 機(jī))最后(直接或間接)與銀行通信。

研究人員認(rèn)為銷(xiāo)售終端的這種誤把萬(wàn)事達(dá)卡當(dāng)做Visa卡的現(xiàn)象不但會(huì)造成信用卡管理的混亂，更會(huì)帶來(lái)嚴(yán)重后果。例如，犯罪分子可以將其與先前對(duì)Visa的攻擊結(jié)合使用，從而繞過(guò)萬(wàn)事達(dá)卡的PIN。目前，萬(wàn)事達(dá)卡被認(rèn)為受PIN保護(hù)。另外一個(gè)原因是EMV是Europay(Europay后被并入MasterCard組織)、MasterCard、VISA三個(gè)信用卡國(guó)際組織聯(lián)合制定的銀行芯片卡借記/貸記應(yīng)用的統(tǒng)一技術(shù)標(biāo)準(zhǔn)。

蘇黎世聯(lián)邦理工學(xué)院的研究人員在負(fù)責(zé)任的披露后表示，萬(wàn)事達(dá)卡目前已在網(wǎng)絡(luò)級(jí)別實(shí)施了防御機(jī)制，以阻止此類(lèi)攻擊。研究結(jié)果將在今年8月下旬舉行的第30屆USENIX安全研討會(huì)上發(fā)表。

信用卡品牌混淆攻擊

就像先前發(fā)生的Visa卡的攻擊一樣，最新研究也利用了之前廣泛使用的EMV非接觸式協(xié)議中的“嚴(yán)重”漏洞，只是這次的目標(biāo)是萬(wàn)事達(dá)卡。

從高層次上講，這是通過(guò)使用Android應(yīng)用程序?qū)崿F(xiàn)的，該應(yīng)用程序在中繼攻擊體系結(jié)構(gòu)之上實(shí)現(xiàn)了中間人(MitM)攻擊，從而使該應(yīng)用程序不僅可以在兩端(終端和卡)，還會(huì)攔截和操縱NFC(或Wi-Fi)通信，從而惡意地在不同信用卡品牌和支付網(wǎng)絡(luò)之間引入不匹配的情況。

換句話(huà)說(shuō)，如果發(fā)行的卡是Visa或Mastercard品牌的卡，則促進(jìn)EMV交易所需的授權(quán)請(qǐng)求將路由到相應(yīng)的支付網(wǎng)絡(luò)。付款終端使用所謂的主要帳號(hào)(PAN，也稱(chēng)為卡號(hào))和可唯一識(shí)別卡類(lèi)型(例如萬(wàn)事達(dá)卡大師或Visa Electron)的應(yīng)用程序標(biāo)識(shí)符(AID)的組合來(lái)識(shí)別品牌，然后利用后者為交易激活特定的內(nèi)核。

EMV內(nèi)核是一組函數(shù)，提供執(zhí)行EMV接觸或非接觸事務(wù)所需的所有必要處理邏輯和數(shù)據(jù)。

目前研究人員將該攻擊稱(chēng)為“信用卡品牌混淆攻擊(card brand mixup)”，該攻擊利用了以下進(jìn)程：這些AID并未通過(guò)支付終端進(jìn)行身份驗(yàn)證，因此有可能欺騙終端以激活有缺陷的內(nèi)核，進(jìn)而擴(kuò)展為處理付款的銀行，代表商家接受通過(guò)指示不同信用卡品牌的PAN和AID進(jìn)行的非接觸式交易。

然后，攻擊者會(huì)同時(shí)在終端上執(zhí)行Visa交易，并在卡上執(zhí)行萬(wàn)事達(dá)卡的交易。

但是，該攻擊必須滿(mǎn)足許多先決條件才能成功。比如要完成這樣的攻擊，攻擊者首先必須能夠訪(fǎng)問(wèn)受害者的卡，除了能夠在將終端的命令和卡的響應(yīng)發(fā)送給相應(yīng)的接收者之前，對(duì)其進(jìn)行修改。它不需要具有root權(quán)限或利用Android中的漏洞來(lái)使用概念驗(yàn)證(PoC)應(yīng)用程序。

不過(guò)研究人員指出，EMV非接觸式協(xié)議的第二個(gè)漏洞可以使攻擊者通過(guò)非Visa卡獲得的響應(yīng)中，構(gòu)建Visa協(xié)議指定的所有必要響應(yīng)，包括發(fā)卡機(jī)構(gòu)授權(quán)交易所需的加密證明。

蘇黎世聯(lián)邦理工學(xué)院的研究人員表示，使用PoC Android應(yīng)用程序，他們能夠繞過(guò)PIN驗(yàn)證，以進(jìn)行萬(wàn)事達(dá)信用卡和借記卡的交易，包括兩張Maestro借記卡和兩張萬(wàn)事達(dá)信用卡，這些都是由不同的銀行發(fā)行的。針對(duì)這個(gè)可能的交易，萬(wàn)事達(dá)信用卡增加了許多安全對(duì)策，包括要求金融機(jī)構(gòu)在授權(quán)數(shù)據(jù)中包含AID，從而允許發(fā)卡機(jī)構(gòu)根據(jù)PAN檢查AID。

此外，該支付網(wǎng)絡(luò)還對(duì)授權(quán)請(qǐng)求中出現(xiàn)的其他數(shù)據(jù)點(diǎn)進(jìn)行了檢查，這些數(shù)據(jù)點(diǎn)可用于識(shí)別此類(lèi)攻擊，在一開(kāi)始就拒絕欺詐性交易。 

本文翻譯自：https://thehackernews.com/2021/02/new-hack-lets-attackers-bypass.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。