当美国准备转向使用"芯片和密码"模型的信用卡交易时,欧洲还在开心的使用传统的更加安全的人工方式进行交易。但是,欧洲现在的信用卡交易方式出现问题是迟早的事。
摘要
截止到今天,德国新闻节目Tagesschau的研究人员在本月下旬举行的Chaos Communication Congress(混乱通信大会)的关于未来的讨论中将详细介绍现在欧洲的支付终端存在的一系列漏洞和拙劣的设计选项(该终端要求用户在输入四位PIN密码前先插入信用卡)。这些将允许黑客窃取受害者的PIN码和信用卡的磁条,黑客甚至可以伪装成任何终端设备并把资金转入任何一个德国的银行账户。这些无疑会引起欧洲其他国家体系的担忧,因为这些漏洞完全有可能也在其他国家的终端设备中存在。
一个活跃的犯罪团伙可能在几个月内就开始进行攻击,研究员Karsten Nohl在电话采访中告诉Motherboard说:
“基本上任何使用词条和PIN码的东西都非常容易受到攻击。这是我们第一次遇到规模这么大的部署,这次的问题非常严重,并且还没有一种明显的修复方案。”
团队成员包括Nohl, Fabian Bräunlein 和 Philipp Maier,他们测试了五个不同付款机的支付终端。付款机都来自于大公司,他们同时也提供了机器的终端软件和需要路由传输的基础设施。
终端测试使用了两种网络,两种网络使用了相同的后台软件。“也就是说,德国的付款机后台都是一种软件,所以每个人都会受到相同的影响。”
攻击方式:
Nohl 和 Bräunlein将指定出集中不同的攻击方式,攻击方式取决于支付终端所用的协议:ZVT 和 Poseidon。设备用来通信的两种协议基本上是使用了不同的语言。
第一种有效攻击方式:
第一次攻击依赖了ZVT存在的问题,它允许攻击者抓取受害者输入的PIN数字和储存在信用卡磁条中的数据。抓取通过攻击者给终端发送看似合法的加密签名消息,要求用户输入PIN来实现。攻击者必须等待目标开始合法交易,然后发送发明的恶意命令。原始交易就会失败,但是攻击者会得到磁条数据和PIN码。
研究人员能够通过提取来自测试终端的签名消息的密钥来证明,但是结果发现不同终端都提供了相同的密钥。
“密钥并不容易找到:这项工作话费了我们几周的时间。但是因为密钥是一个可以存在于多个系统的密钥,你只需要努力这么一次,就可以获取多个系统的密钥了,换句话说,一个攻击者只需要获得一次密钥,之后他们就可以对他们遇到的其他付款机的终端进行攻击了。”
为了发送信息要求某人输入他们的PIN,一个哦高年级这不需要真的和终端有任何接触,Nohl表示,相反,他们只需要连接进入相同的网络和终端取得通信即可。
“在酒店里,这些终端一般都是通过酒店的无线网络进行访问呢的,因为酒店只有一个网络”,Nohl补充道。所以有一小部分终端都可能通过这种远程方式被攻击:大约200个终端被暴露到了开放网路中。几乎所有的终端都使用ZVT,所以可以估算出德国90%的终端都是易攻击的。”
第二种有效攻击方式:
第二种潜在的危险攻击让我们对“整个系统的设计提出了质疑”,Nohl说。“这是我们第一次遇到如此大规模的部署存在严重问题,并且我们不知道有什么明显的方法进行修复。”
每个终端都有独特的终端ID。"因为所有的终端都有相同的密钥,任何终端都可以伪装成其他终端",Nohl说。攻击者只需要知道他们目标的终端ID和一些非常容易就能获得的关于支付系统后台的信息就可以进行攻击了。
但是,令人惊讶的是,终端的ID竟然被印在了终端产生的付款单中,并且ID是很容易就能猜到的,因为它们是按顺序逐一增加的。
根据Nohl所说,德国的主要付款机TeleCash有成千上万的终端和他们的系统相连。
“我们可以通过互联网的Tor远程伪装成每一个终端,我们在德国能做到基本上同一时间从不同的地点把钱转到某个特定银行账户。”TeleCash公司暂时没有做出任何回应。Nohl说,"所有的支付处理系统都是使用了Poseidon",第二个有问题的协议。
问题很难被解决
Nohl说这些问题可能影响到了德国以外的终端,因为他们都使用了想相同的通信协议。
2012年,Nohl和他的同伴们揭露了一些关于欧洲支付终端的问题。这些问题已经被解决了一部分,但是当这个如此厉害的团队想修复最近的这个问题时,他们被难住了。
Nohl认为这次的发现比以往他们团队所发现的安全事故更加严峻。研究人员已经通知了德国银行,并且团队表示他们仍将继续进行后续揭露进程。
无论如何,如果专业的犯罪分子利用这个漏洞进行大范围攻击,那么这次攻击者所获得的利益将远远超过传统的信用卡窃取。目前,"人们每次只能物理修改一台ATM机器,并且这似乎是有利可图的,攻击银行硬件可是一种非常鉴定的犯罪行业。"
更新:
据Tagesschau报道,德国银行机构Deutsche Kreditwirtschaft表示他们已经进行了调查研究并且确信他们的系统是安全的。他们称柏林的研究人员只有在实验室条件下进行的攻击是有效的,但是不会给信用卡所有人造成影响。电子商务组织BECN还强调,他们非常认真的对待这次的研究,并且要求个体经营者定期进行软件更新。
原文发布时间为:2015-12-30
本文作者:FreeBuf
本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。