2015年是美国银行及零售商用芯片卡替换磁条的截止日期,但英国纽卡斯尔大学的研究人员声称,所谓的更安全的芯片卡,其系统存在严重漏洞。
目前尚不得知国内IC卡是否存在此类问题,但是建议相关机构进行评估,以免发生类似预授权之类的事件。文中提到的部分现象国内的IC卡也是存在,如手机可以读取部分卡内刷卡记录!
2015年是美国银行及零售商用芯片卡替换磁条的截止日期,但英国纽卡斯尔大学的研究人员声称,所谓的更安全的芯片卡,其系统存在严重漏洞。
VISA开发的在英国使用的芯片银行卡系统,不能识别外币交易,并因此会被利用进行非法转账,最多可达99.99999万的货币单位。
而且,由于芯片卡不像传统的磁条卡需要接触读卡器才能完成交易,因此黑客可以携带读卡器走近受害者,即可完成非法转账行为。同时,这种卡与卡之间的转账是线下的,不通过零售商的POS机,也没有另外的安全检测手段。
发现该漏洞的研究人员表示,甚至只需要一部手机就能建立一部POS终端,从身边人的钱包里读取芯片卡上的信息(国内IC卡也有该情况)。所有的交易检测都在卡片上,而不是在终端机上。只需预先设置好转账额,然后用手机靠近受害者的钱包,即可完成交易。在实际测试时,用时不到一秒钟。
芯片密码卡(Chip and PIN)也称为EMV卡,正在全美推行使用。推行EMV的初衷是为了减少类似塔吉特等银行卡信息泄露事件的发生,防止攻击者用记录卡号和PIN码的手段复制银行卡,进行欺诈购物。
EMV卡上的微芯片起着对卡片的合法性进行认证的作用,即使黑客盗走了卡片上的数据,他也无法生成完成交易的认证码。目前EMV卡已经在欧洲和加拿大广泛的实施。VISA为了在美国推进读卡器的安装,已经宣布截止时间为2015年10月1日。到时,任何企业如果没有安装EMV读卡器的话,将承担银行卡数据被盗后发生欺诈交易的责任。
英国的EMV系统限制了卡片在不接触读卡器的情况下转账额度为20英镑,超出这个额度需要输入PIN码,或其他验证方法。但研究人员发现,该系统未能识别非英镑的外币交易,因此无需输入PIN码或其他验证。
研究人员准备在近期亚里桑那州举行的计算机与通信安全会议上提交他们的发现。