【突破盲腸】 Visa 卡感應式付款漏洞,實現「真‧無限簽帳」!
Visa 信用卡嘅非接觸式感應付款技術,早於上年已被研究人員警告,因為其付款金額限制功能唔夠穩陣,只要有辦法繞過認證機制,限制交易金額嘅保護機制就會形同虛設,黑客就可以實現「真‧無限簽帳」喇!
網絡安全公司 Positive Technologies 研究人員 Leigh-Anne Galloway 與 Timur Yunusov 最近完成測試,成功利用漏洞繞過 Visa 信用卡感應式付款驗證限制,而且試埋用英國 5 間主要銀行所發出嘅信用卡,全部都可以做到,理論上,其他英國銀行應該都無一倖免。
研究人員嘅攻撃方法,係利用一部裝置攔截信用卡同終端機之間嘅訊號,即係中間人攻擊(man in the middle attack)。主要針對感應式付款交易時,信用卡與終端機之間嘅兩個程序。第一個係當交易金額大過 £30 時嘅限制,原本收費裝置會向信用卡發出收款指示,但當金額超過限制,信用卡就會回應「無法交易」嘅訊息,於是交易就要卡主額外輸入密碼或簽名先可以完成。另一個係針對一啲國家對非接觸式交易嘅設定指令,同樣有需要卡主提供額外認證。
無限簽帳唔使認證
而研究就針對上述兩種限制,喺信用卡同讀卡器之間擺放攔截裝置,首先喺付款時佢會向信用卡表示呢次交易毋須額外驗證,即時交易金額超過£30 ,同時間佢亦會向讀卡器發咗訊息,指額外驗證已經完成,呢種攻擊手法之所以能夠達成,全因 Visa 並無要求發卡商與收款公司喺傳輸無線交易訊號時有最低限度嘅驗證,所以讀卡機唔會知道付款訊號係咪嚟自指定信用卡,信用卡亦唔知毋須交易驗證訊號喺咪嚟自獲授權嘅讀卡機,令研究員達成無限簽帳嘅目標!而且,呢個攻撃方法同樣適用於手機錢包 GPay,令到大面額交易時都唔需要解鎖手機做進一步嘅認證。
感應式付款嘅原意係方便、快捷,額限雞碎咁多就唔需要簽卡啦。而 Visa 一直深信感應式付款絕對安全可靠,大家都信晒佢之際,感應式付款嘅交易數量及金額亦不斷上升。可惜,就係咁靠唔住。現時,英國嘅感應式付款嘅金額限制為 £30,與香港嘅金額相若。金額限制原意係保障發卡公司及卡主,將損失封頂,如果黑客能夠突破限制,意味住損失數字可以無限大。不過,研究員並無透露放喺中間嘅攔截器到底有幾大,係咪真係可以放喺中間而唔俾人發現呢?
相關文章:【濕平危機】黑客每月攻陷 4800 網站偷信用卡資料