物聯(lián)傳媒 旗下網(wǎng)站
登錄 注冊(cè)

劍橋大學(xué)學(xué)生發(fā)現(xiàn)芯片卡交易機(jī)制的漏洞

作者:語馨 收編
來源:互聯(lián)網(wǎng)
日期:2010-02-22 09:39:22
摘要:這幾位劍橋大學(xué)的學(xué)生,平時(shí)不好好上網(wǎng)把妹打魔獸,竟然把大部份的時(shí)間都花在找出常用在芯片信用卡上的 EMV 認(rèn)證機(jī)制的漏洞。
 

620)this.style.width=620;" border=0>

    這幾位劍橋大學(xué)的學(xué)生,平時(shí)不好好上網(wǎng)把妹打魔獸,竟然把大部份的時(shí)間都花在找出常用在芯片信用卡上的 EMV 認(rèn)證機(jī)制的漏洞( 話說回來,破解這個(gè)好像真的比較有賺頭 )。

    在這邊我們并不打算深入說明實(shí)際破解的方法( 因?yàn)?..我們也沒有 ),只就上面這張概念圖加以說明。簡(jiǎn)單來說,一般正常的芯片卡交易的程序依循為:輸入認(rèn)證碼>終端機(jī)將輸入的密碼送給芯片卡>芯片卡進(jìn)行認(rèn)證>確認(rèn)結(jié)果。

    而 這個(gè)稱之為「人卡在中間」(Man-in-the-middle)的破解方法,主要就是在輸入密碼的終端機(jī)與芯片卡之間塞進(jìn)一個(gè)不管怎么問都會(huì)回答「您 對(duì)」的中間人,通過它毫不臉紅的說謊技術(shù),不管終端機(jī)送什么樣的密碼過去,中間人都會(huì)回傳認(rèn)證成功的訊息,因此終端機(jī)就會(huì)以為芯片卡已經(jīng)確認(rèn)過這組密碼而 準(zhǔn)許進(jìn)行交易。

    假如這樣說明還是沒辦法讓您明白的話,跳轉(zhuǎn)后有更白話的范例及配上相當(dāng)戲劇化音效的新聞?dòng)捌?

    Read - BBC
    Read - University of Cambridge范例:

    路人甲 : 9527,你該不會(huì)就是唐伯虎。
    唐伯虎 : 不,我不是。
    路人甲 : 好,他不是,放過他吧。

    目前這組團(tuán)隊(duì)已經(jīng)成功利用這個(gè)方式騙過英國(guó)當(dāng)?shù)劂y行的在線認(rèn)證機(jī)制進(jìn)行交易,至于 ATM 部份,由于采用的驗(yàn)證方式不太一樣,因此目前尚未完成破解( 該不會(huì)是因?yàn)榘缪葜虚g人的那張卡片多了好幾條電線,塞不進(jìn) ATM 機(jī)器里,所以沒辦法破解? )。我們并不確定中國(guó)采用的認(rèn)證機(jī)制是否也會(huì)有相同的問題,如果有的話那得趕緊想法子防堵啰,因?yàn)檫@份論文將會(huì)發(fā)布在今年五月的 IEEE Security and Privacy 期刊上。