研究人员批评签证和更广泛的支付行业进行披露反应
安全研究人员警告说,非接触式支付中的漏洞对越来越受欢迎的付款模式的诚信构成了威胁。
未接触式(NFC)付款,首次推出2007年,正在变得越来越普遍,占全球交易的40%,并且快速替换现金和早期的芯片和引脚验证方法作为首选的付款方式。
Leigh-Anne Galloway,积极技术(PT)和她的同事的支付安全研究员蒂姆斯托夫蒂姆是一个与PT的安全研究员,在非接触式支付安全方面发现了几个问题。
Duo的最新研究在开始早先调查进入移动点销售点(POS)系统的安全漏洞,2018年在黑帽美国呈现。
在演示期间黑帽子欧洲今天(12月4日)伦敦会议(12月4日)研究人员首次展示了如何绕过英国30英镑(39美元)限制使用物理卡的非接触式付款。
这个技巧涉及呈现一个物理卡,好像它是智能手机上的软件令牌,绕过签证的过程。
相关诡计可用于使用锁定的移动电话来规避移动钱包的限制。
超过极限:31.00英镑的非接触式交易
举起的时间
研究人员还发现了NFC支付背后的加密协议中的问题 - 特别是在Generation键值,不可预测的数字(UN)和应用程序交易计数器(ATC)中找到了缺陷。
这些缺点使得可以克隆交易。
非接触式杆的一些问题来自使用比技术更老的协议,加洛韦和yunusov解释,包括MagStripe模式和EMV(支付卡)协议。
在另一个首先,研究人员使用EMV进行了预播攻击,而不降低到遗留模式。
yunusov告诉每日SWbeplay2018官网IG.由于卡发行银行缺乏支票,攻击是可能的。加洛韦和yunusov私下将他们的研究披露了主片,签证和许多银行,在公开展示他们未覆盖的黑客之前。
“签证意识到这些问题,但看不到任何问题,”尤努斯夫说。在欧洲有更大的业务的万事达卡暴露不那么暴露。
研究人员没有直接证据证明网络犯罪分子根据他们概述的安全缺点使用或提供出售黑客。大多数欺诈涉及更多基本技术和更容易的挑选。
根据签证,公司的全球非接触式欺诈率在2017年至2018年间下降了33% - 同期欧洲40%。
“使用与EMV芯片相同的安全技术,非接触式卡通过使用一次性使用代码来防止防止受损数据被重新用于欺诈的代码来防止伪造的欺诈,”签证发言人每日SWbeplay2018官网IG.符合研究人员的演示。
罗威韦和Yunusov仍然希望他们的研究将有助于“摆动行业”或至少鼓励支付提供商折扣无效的假设和重新审查系统。
加洛韦告诉每日SWbeplay2018官网IG.:“如果您要向更多主流组织报告问题,例如谷歌,他们只会修复漏洞。但如果你要在支付行业报告问题,它得到了一个非常不同的回应。如拒绝,'不,我们不会那样做',或者看不到问题,所以我们为什么要解决它?“
“这完全奇怪,因为,2019年,你有很多BUG赏金计划这些意思(即使研究人员并没有总是得到补偿),供应商可能会解决问题。
“签证的立场是'我们不会解决这个问题。”
便利增添了安全风险
非接触式支付系统涉及使用信用卡和借记卡,智能手机和其他包含射频识别(RFID)或近场通信的设备来进行安全付款。
嵌入式集成电路芯片和天线使消费者能够在销售点终端的读者上将其卡或智能手机挥动,以便付款。
商人喜欢非接触式,因为交易是因为它们可以快速完成。由于通常需要任何签名或引脚验证,因此非接触式购买通常限于小价销售。
“只要我们的保险或不超过欺诈的欺诈,我们就是yunusov的不太可能的”付款提供者维护。
来自签证的发言人告诉每日SWbeplay2018官网IG.该公司认真对待其支付系统的所有安全威胁,并始终欢迎改善防御的研究。
“近10年来研究了分阶段欺诈计划的变化 - 当时发言人说,这一点没有报告这种欺诈行为。”
“研究测试可能是合理的,但这些类型的方案已经证明,欺诈者在现实世界中雇用欺诈是不切实际的。
“Visa的多层安全方法导致欺诈剩余稳定近历史上低于1%的速度低。”
加洛韦得出结论:“未接触的付款被引入以更容易地支付物品所以人们会花更多的事情,但该技术具有许多安全问题,可能的是使用芯片和PIN”来授权交易。
现在可以提供与研究人员的研究结果有关的进一步详情加洛韦的网站beplay体育能用吗。
