苏黎世的德国瑞士工程学校的分析工作人员发觉了一个新的漏洞,非接触式万事达卡和Maestro登陆密码可以被轻轻松松绕开。该漏洞的主要之处取决于,假如利用恰当,术士可以应用被侵入的万事达卡或Maestro卡开展非接触式付款,而不用输入支付密码来进行买卖。
要达到以上作法,必须最先在两个Android智能机上安裝专用型手机软件。一个机器设备用以仿真模拟正在安装的零售点终端设备,而另一个则做为一个卡片手机模拟器,容许将调整后的交易信息传送到真真正正的零售点机器设备。一旦卡片运行买卖,它便会泄漏全部有关信息。
苏黎世联邦政府理工大学的权威专家确认,这也是一次独立的进攻,但伴随着非接触式付款方式的大量漏洞被解开,这非常容易在现实生活中被利用。以往,同一个精英团队取得成功地绕开了Visa的非接触式交易密码,科学研究工作人员你在"EMV规范:破译、修补、认证"科学研究毕业论文中详细说明了这一试验。
现阶段的试验集中化在非Visa非接触式支付协议应用的卡上的PIN绕开,但采用的全是同样的对策和给定的漏洞。该精英团队可以阻拦Visa的非接触式付款标准,并将买卖层面迁移到一个真真正正的零售点终端设备,该终端并不了解买卖凭证的由来,立即认证并确定了PIN和购卡者的真实身份,因而PoS也不用开展进一步的定期检查真实身份辨别步骤。
无论是Visa、Mastercard或是Maestro,ETH都取得成功地完成了试验,这并并不是数以百计的非接触式卡客户所期待听见的。因为这一漏洞的危害性以及潜在性的影响难以估量,科学研究工作人员沒有表露所采用的手机应用程序的名字。