欧洲信用卡终端协议漏洞致磁条数据和密码可提取

欧洲信用卡终端协议漏洞致磁条数据和密码可提取

  当美国准备为信用卡交易更换芯片密码模型时,欧洲一直在幸福地使用着更安全的用于个人交易的方法。但欧洲的方法其实存在很严重的问题,发现它们也只是迟早的事。

  德国新闻节目Tagesschau今天表示,在本月晚些时候的混沌通信国会中,参与讨论的研究者们将会详细地展示欧洲支付终端(在输入一个四位数密码之前,用户进行卡片插入的设备)的一些漏洞和设计缺陷。这些漏洞可能会被黑客利用来窃取受害者的PIN码和磁条卡,甚至伪装成终端,将资金发送到德国的任何一个银行账户上。也有人担心这些漏洞可能会影响到其他欧洲国家的系统。

  其中的一名研究者Karsten Nohl在电话采访中对Motherboard说,一组目的明确的罪犯可能会在“几个月之内”再次发动攻击。

  诺尔说:“事实上,任何带有磁条和密码的东西在它面前都是脆弱的。”

  “这是我们第一次遇到这么大规模的部署,面临这样严重的问题,并且没有一个明确的解决方案。”

  这个团队包括Nohl、Fabian Bräunlein和Philipp Maier,他们负责测试五个不同的付款处理器上的支付终端。付款处理器产商就是那些为商家提供终端,并为路由交易维护所需的基础设施的大公司。

  用于测试的终端使用了两种不同的网络,两种网络都使用了相同的后端软件。诺尔说:“在德国,这是唯一被用于此种目的的软件。”

  诺尔和Braunlein将会安排几种不同的攻击,这主要依靠支付终端使用的两个协议ZVT和Poseidon中存在的问题。这些协议本质上是设备用于交流时使用的不同的语言。

  第一次袭击依靠的是ZVT的问题,它将允许黑客获取受害者的密码和存储在磁条卡中的数据。黑客会发送一个看上去合法并且加密的签名消息到终端,要求受害人输入他们的密码,从而达到目的。黑客必须等待目标进行一个合法的交易,再发送自己那些恶意的命令,随后最初的交易将会失败,但黑客将会拿到磁条数据和密码。

欧洲信用卡终端协议漏洞致磁条数据和密码可提取

  研究人员能够通过在测试终端中提取用于签署消息的密钥来达成目标。但事实证明,一个付款处理器提供的每一个终端都使用相同的密钥。

  诺尔说:“要发现这个密钥不是特别容易,这需要一到两个星期才能找到。但由于这个密钥是整个系统共用的,你只要找到它就会一劳永逸。”换句话说,一个黑客只需要寻找这个密钥一次,然后他就可以对遇到的任何来自于那个付款处理器的其他终端发动攻击。

  诺尔说,为了发送请求别人输入他们的密码的消息,黑客“不需要在实际上与终端发生物理接触”。相反, 为了与终端进行通信,他们只需要连接到同一个网络就可以。

  诺尔说:“在一个酒店里,这些终端通常可以通过酒店的无线网络进入,因为酒店只有一个网络。“除此之外,少数终端可以被远程攻击:大约200个终端的接口暴露在了开放网络中。

  “几乎所有终端都使用了ZVT。”他估计德国大约90%的终端都是存在漏洞的。

  诺尔说:“第二种攻击可能是一种更严重的攻击,它让我们对整个系统的设计表示出了质疑。”

  每一个终端都有一个独一无二的终端ID。诺尔说:“既然所有终端都有相同的密钥,那么任何终端可以伪装成其他的终端。“攻击者需要知道的仅仅是他们想要攻击的机器的终端ID,以及支付系统后端的一些容易获取的细节。

  但是令人吃惊的是,ID就印在终端产生的每个支付清单上,并且ID很容易猜,因为它们只是逐步增加的。

  诺尔指出:“这似乎是一个非常奇怪的设计。”

  诺尔说:“TeleCash是德国的一个主要的付款处理器产商,有成百上千的终端现在正连接在他们的系统上。”

  “通过Tor,我们可以在互联网上远程模仿其中的每一个,然后几乎同时从成千上万的地方向德国的任何一个银行账户汇款。“

  TeleCash没有回应Motherboard记者的置评请求。诺尔说:“所有的付款处理器都使用了Poseidon,也就是第二个存在问题的协议。”

  诺尔说,这些问题也会影响到德国以外的终端,因为它们使用了类似的通信协议。

  2012年,诺尔和其他研究人员披露了欧洲支付终端的一些问题。那些问题在一定程度上已经被解决了, 但对于这些最新披露出来的问题,诺尔表示尚未找到解决方案。

  诺尔并不认为这些发现比他们之前发现的那些更糟。但是他说:“这是我们第一次遇到这么严重的问题,并且没有一个明确的解决方案。”

  研究人员已经向德国银行通知了这些问题,诺尔表示:“我们还处于负责信息披露的进程中。”

  无论如何,对于专业的罪犯来说, 利用这些漏洞在很大程度上明显比传统的读卡更有利可图。诺尔说:“目前人们可以每次对一台ATM机进行物理修改,但那似乎已经足够盈利了。这是一个非常坚定的犯罪产业。”

  更新:根据Tagesschau的报道,德国银行业组织Deutsche Kreditwirtschaft表示已经进行了检查,并且相信他们的系统是安全的。它声称,柏林的研究者发动的攻击只在实验室条件下可行,卡的主人也将不会为此付出代价。电子商务组织BECN还强调, 涉及到个体经营者的常规软件更新的那方面,他们正在认真研究。

发表评论