今天我们为大家推荐两篇重量级的安全研究论文,第一篇是2021年IEEE S&P会议上的最佳实践论文,第二篇是Usenix Security 2021年的研究论文,都出自同样的作者(瑞士苏黎世联邦理工学院),攻击的目标非常清晰明确——两大银行卡组织Visa和Mastercard
在国内大量使用银联云闪付的同时,国外的Visa和Mastercard也很早就支持了非接触式的支付(contactless payment,注意到卡片上的类似无线信号的logo),而这种新型的支付方式与经典的EMV支付协议(全球超过90亿张卡片所使用)结合时,会导致严重的安全攻击。受害者的卡片一旦被获得,攻击者可以绕过PIN码完成支付!
实际上在去年9月,第一篇论文就已经公开,研究人员构造了一个很巧妙的relay attack,把contactless payment和标准的支付连接起来,但是在中间过程进行了一些交易数据的篡改。也就是说,先借用无感支付来生成一些可信数据,然后把这些数据用在一个恶意的支付过程中就不需要输入PIN码而完成支付了!!!
在作者的Oakland paper里面,关注了VISA卡的攻击,而在他们今年的Usenix Security研究论文中,作者又进一步针对MasterCard开展了攻击。此前针对VISA的攻击里面,攻击者完全可以绕过PIN码,而针对MasterCard的攻击就是一个非常典型的数学家思维模式——先去欺骗交易参与者以为这张卡是一张VISA卡而不是一张MasterCard(这样的攻击居然可以奏效!)然后再利用前一篇论文的方法来绕过MasterCard的PIN码验证,是不是很有趣呢!
研究者网站:
https://emvrace.github.io/
论文PDF:
SP 21论文:https://arxiv.org/pdf/2006.08249.pdf
Usenx Security 21论文:
https://www.usenix.org/system/files/sec21fall-basin.pdf
原文始发于微信公众号(安全研究GoSSIP):G.O.S.S.I.P 学术论文推荐 2021-08-06
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论