来自苏黎世瑞士高级技术学校的研究人员发现了一个漏洞,该漏洞正是授权于Visa支付卡中使用的非接触式支付的方法。它使您无需输入PIN即可超越交易限制。这意味着,如果发生盗窃,攻击者可以用卡购买非常昂贵的产品。
PoC视频上有一个有趣的细节:使用了两部智能手机,一部从信用卡中读取数据,另一部被带到支付终端。假定甚至没有必要窃取卡,而足以在适当的时间成功亲吻信用卡。以前,对非接触式支付系统的这种攻击根本是不切实际的。它们仍然保持这种状态,但是研究使它们比我们想要的更加危险。
关于该主题的详细研究尚未发表-研究人员承诺最早在2021年5月之前提交所有细节的研究成果。到目前为止,已经知道以下内容:该漏洞在于更改支付卡状态的能力,该状态是在与终端机接触时传输的。更准确地说,有两种状态:一种通知终端不需要输入PIN码,第二种-通知该卡在用户设备(例如,智能手机)上得到了授权。通常,这些指示符的组合将导致终端要求输入PIN。在攻击情形下,智能手机读取卡中的数据,然后将其传输到另一智能手机,然后在此过程中进行修改。在瑞士,非接触式付款的上限为80瑞士法郎(出版时为74欧元)。研究人员利用发现的漏洞未经授权支付了200法郎。
很可能,许多Visa信用卡和借记卡很容易受到攻击。在Discover和Union Pay系统的卡上也可以替换状态。该漏洞不受万事达卡的影响(最早的非接触式卡除外),因为那里的状态可以让您绕过输入PIN的需要,而无法即时更改。研究人员自己还不确定在一段时间内所有卡,还是仅部分或某些银行是否受到影响。建议很简单:不要丢卡,而要使用隔离无线通讯的钱包。好的,不需要钱包,但是最好不要丢掉卡。
还有什么事
Microsoft解决方案的下一个补丁关闭了129个漏洞,其中23个漏洞很严重。在Microsoft Exchange服务器中发现了最严重的问题之一。攻击者可以通过发送准备好的消息,在邮件服务器上以高特权执行任意代码。
为Android每月补丁关闭53错误,包括在媒体框架下洞。
补充蓝牙协议中的许多漏洞。 BLURtooth错误可让您未经授权即可通过蓝牙4.0和5.0连接到附近的设备。
电子邮件订阅者和新闻通讯Wordpress插件漏洞受到威胁数十万个网站。授权不正确会导致您使用邮件服务器发送垃圾邮件。关于针对Office 365的攻击的
一个有趣的发展:在一个网络钓鱼活动中,他们注意到一种机制,可以实时验证受害者在假站点上输入的数据。也就是说,您的用户名和密码不仅会被盗,而且如果您在键入时输入错误,也会礼貌地报告。
安全研究人员报告了对基于Linux的VoIP网关的攻击。攻击者搜寻通话记录。
笔记本电脑,游戏PC和配件的制造商Razer盗取了100,000个客户数据。
Zoom视频会议服务的开发人员已实现两因素身份验证。