劍橋大學學生發現晶片卡交易機制的漏洞 - Enjoy RFID technology

字體：小中大

劍橋大學學生發現晶片卡交易機制的漏洞

2010/02/19 16:50:53瀏覽1101｜回應0｜推薦1

這幾位劍橋大學的學生，平時不好好上網把妹打魔獸，竟然把大部份的時間都花在找出常用在晶片信用卡上的 EMV認証機制的漏洞( 話說回來，破解這個好像真的比較有賺頭 )。

在這邊我們並不打算深入說明實際破解的方法，只就上面這張概念圖加以說明。簡單來說，一般正常的晶片卡交易的程序依循為：輸入認証碼＞終端機將輸入的密碼送給晶片卡＞晶片卡進行認証＞確認結果。

而這個稱之為「人卡在中間」(Man-in-the-middle)的破解方法，主要就是在輸入密碼的終端機與晶片卡之間塞進一個不管怎麼問都會回答「您對」的中間人，透過它毫不臉紅的說謊技術，不管終端機送什麼樣的密碼過去，中間人都會回傳認証成功的訊息，因此終端機就會以為晶片卡已經確認過這組密碼而准許進行交易。

假如這樣說明還是沒辦法讓您明白的話，跳轉後有更白話的範例及配上相當戲劇化音效的新聞影片：

Read - BBC
Read - University of Cambridge

範例：

路人甲 : 9527，你該不會就是唐伯虎。
唐伯虎 : 不，我不是。
路人甲 : 好，他不是，放過他吧。

目前這組團隊已經成功利用這個方式騙過英國當地銀行的線上認証機制進行交易，至於 ATM 部份，由於採用的驗証方式不太一樣，因此目前尚未完成破解( 該不會是因為扮演中間人的那張卡片多了好幾條電線，塞不進 ATM 機器裡，所以沒辦法破解？ )。我們並不確定台灣採用的認証機制是否也會有相同的問題，如果有的話那得趕緊想法子防堵囉，因為這份論文將會發表在今年五月的 IEEE Security and Privacy 期刊上。

資料來源: engadget 2010/2/18

原文網址: EMV PIN verification “wedge” vulnerability (http://www.cl.cam.ac.uk/research/security/banking/nopin/)

( 休閒生活｜網路生活 )