Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Lỗ hổng cho phép vượt qua xác minh mã PIN thẻ EMV
Các nhà nghiên cứu của ETH Zurich vừa phát hiện lỗ hổng liên quan tới việc thực thi của thẻ thanh toán EMV standard, cho phép hacker tấn công nhắm vào cả chủ thẻ và đại lý.
Theo báo cáo, lỗ hổng có thể bị khai thác để vô hiệu hóa việc xác minh mã PIN trong các giao dịch không tiếp xúc bằng thẻ Visa.
Được phát triển vào giữa những năm 90 và đặt tên theo các bên sáng lập (Europay, Mastercard và Visa), EMV là tiêu chuẩn quốc tế cho thanh toán bằng thẻ thông minh, được sử dụng trong hơn 80% giao dịch bằng thẻ trên toàn thế giới.
Các nhà nghiên cứu ETH Zurich cho biết, mặc dù được cho là an toàn, tiêu chuẩn này vẫn có các lỗ hổng, chủ yếu liên quan tới logic.
Cuộc tấn công thử nghiệm đầu tiên cho phép kẻ xấu mua hàng ngay cả khi không biết mã PIN của thẻ thông qua thanh toán bằng điện thoại thông minh. Trong cuộc tấn công thử nghiệm thứ hai, thiết bị đầu cuối bị lừa chấp nhận một giao dịch ngoại tuyến không xác thực. Giao dịch này sau đó bị từ chối, nhưng khi đó thì hacker đã hoàn thành xong việc mua hàng.
Các cuộc tấn công thử nghiệm nhắm tới cả 3 yếu tố có trong EMV, gồm ngân hàng, thiết bị đầu cuối và thẻ. Trong đó, việc xác minh chủ thẻ không được thực hiện, cũng không được bảo vệ bằng mật mã chống sửa, dẫn tới bỏ qua xác minh mã PIN thông qua ứng dụng Android. Ứng dụng này đóng vai trò trung gian, báo thiết bị đầu cuối rằng việc xác minh mã PIN đã được thực hiện trên thiết bị của người dùng (điện thoại di động). Do đó, kẻ tấn công có thể sử dụng thẻ Visa lấy cắp được để thực hiện các giao dịch mà không cần biết mã PIN của thẻ.
“Chúng tôi đã thử nghiệm thành công việc bỏ qua mã PIN trên thiết bị đầu cuối với một số giao dịch bằng thẻ Visa Credit, Visa Electron và thẻ Vpay”. Các nhà nghiên cứu nhấn mạnh rằng hiện nay người dùng thường thanh toán bằng điện thoại thông minh. Nhân viên thu ngân thì không thể phân biệt thanh toán là của kẻ xấu hay chủ thẻ.
Ngoài ra, các nhà nghiên cứu phát hiện ra rằng, trong các giao dịch bằng thẻ Visa hoặc thẻ Mastercard cũ, thiết bị đầu cuối có thể bị lừa để xác nhận giao dịch ngoại tuyến. Giao dịch sau đó bị từ chối, nhưng phải một khoảng thời gian sau đó.
“Phân tích của chúng tôi cho thấy sự khác biệt lớn giữa tính bảo mật của giao thức thanh toán thẻ Mastercard và Visa, cho thấy rằng Mastercard an toàn hơn Visa. Chúng tôi không tìm thấy vấn đề lớn nào với phiên bản giao thức Mastercard chạy trên các thẻ hiện tại. Ngược lại, Visa thì gặp phải một số vấn đề nghiêm trọng”.
Các nhà nghiên cứu cho biết họ chỉ sử dụng thẻ của chính mình để thực hiện các thử nghiệm và đã thông báo tới Visa về những phát hiện này. Họ cũng đề xuất các bản cập nhật để cả ngân hàng và Visa cập nhật. Các bản update này không yêu cầu thay đổi chuẩn EMV.
Theo báo cáo, lỗ hổng có thể bị khai thác để vô hiệu hóa việc xác minh mã PIN trong các giao dịch không tiếp xúc bằng thẻ Visa.
Được phát triển vào giữa những năm 90 và đặt tên theo các bên sáng lập (Europay, Mastercard và Visa), EMV là tiêu chuẩn quốc tế cho thanh toán bằng thẻ thông minh, được sử dụng trong hơn 80% giao dịch bằng thẻ trên toàn thế giới.
Các nhà nghiên cứu ETH Zurich cho biết, mặc dù được cho là an toàn, tiêu chuẩn này vẫn có các lỗ hổng, chủ yếu liên quan tới logic.
Cuộc tấn công thử nghiệm đầu tiên cho phép kẻ xấu mua hàng ngay cả khi không biết mã PIN của thẻ thông qua thanh toán bằng điện thoại thông minh. Trong cuộc tấn công thử nghiệm thứ hai, thiết bị đầu cuối bị lừa chấp nhận một giao dịch ngoại tuyến không xác thực. Giao dịch này sau đó bị từ chối, nhưng khi đó thì hacker đã hoàn thành xong việc mua hàng.
Các cuộc tấn công thử nghiệm nhắm tới cả 3 yếu tố có trong EMV, gồm ngân hàng, thiết bị đầu cuối và thẻ. Trong đó, việc xác minh chủ thẻ không được thực hiện, cũng không được bảo vệ bằng mật mã chống sửa, dẫn tới bỏ qua xác minh mã PIN thông qua ứng dụng Android. Ứng dụng này đóng vai trò trung gian, báo thiết bị đầu cuối rằng việc xác minh mã PIN đã được thực hiện trên thiết bị của người dùng (điện thoại di động). Do đó, kẻ tấn công có thể sử dụng thẻ Visa lấy cắp được để thực hiện các giao dịch mà không cần biết mã PIN của thẻ.
“Chúng tôi đã thử nghiệm thành công việc bỏ qua mã PIN trên thiết bị đầu cuối với một số giao dịch bằng thẻ Visa Credit, Visa Electron và thẻ Vpay”. Các nhà nghiên cứu nhấn mạnh rằng hiện nay người dùng thường thanh toán bằng điện thoại thông minh. Nhân viên thu ngân thì không thể phân biệt thanh toán là của kẻ xấu hay chủ thẻ.
Ngoài ra, các nhà nghiên cứu phát hiện ra rằng, trong các giao dịch bằng thẻ Visa hoặc thẻ Mastercard cũ, thiết bị đầu cuối có thể bị lừa để xác nhận giao dịch ngoại tuyến. Giao dịch sau đó bị từ chối, nhưng phải một khoảng thời gian sau đó.
“Phân tích của chúng tôi cho thấy sự khác biệt lớn giữa tính bảo mật của giao thức thanh toán thẻ Mastercard và Visa, cho thấy rằng Mastercard an toàn hơn Visa. Chúng tôi không tìm thấy vấn đề lớn nào với phiên bản giao thức Mastercard chạy trên các thẻ hiện tại. Ngược lại, Visa thì gặp phải một số vấn đề nghiêm trọng”.
Các nhà nghiên cứu cho biết họ chỉ sử dụng thẻ của chính mình để thực hiện các thử nghiệm và đã thông báo tới Visa về những phát hiện này. Họ cũng đề xuất các bản cập nhật để cả ngân hàng và Visa cập nhật. Các bản update này không yêu cầu thay đổi chuẩn EMV.
Theo SecurityWeek