瑞士苏黎世联邦理工学院的研究人员发现了Visa支付卡协议标准EMV中的安全漏洞，攻击者利用该漏洞可以绕过Visa无接触支付交易所需的PIN码。也就是说，如果犯罪分子拥有窃取的Visa无接触支付卡，就可以用来刷卡支付，而且无需输入卡的PIN码。而且整个攻击是非常隐蔽的，很容易会被误认为是客户使用智能手机上安装的手机银行或数字钱包进行支付。

攻击原理

研究人员称，成功攻击需要4个部分：2个安卓手机、一个特殊的App（研究人员开发的）和一个Visa无接触支付卡。安卓App需要安装在2个智能手机上，分别进行卡和POS机的模拟。

攻击的主要思想是POS机模拟器要求卡进行支付、修改交易细节，然后通过WiFi发送修改后的数据到第二个智能手机进行无需提供PIN码的大额支付。因为攻击者已经修改了交易数据，所以无需输入PIN码。

App并非恶意程序，无需root权限，研究人员在pixel和华为设备上都进行了测试。

POC视频参见：https://www.youtube.com/embed/JyUsMLxCCt8

漏洞分析

研究人员分析称，攻击能够成功的原因是Visa无接触支付协议和EMV标准中的设计漏洞。攻击者利用这些漏洞可以对无接触支付交易中的数据进行修改，包括控制交易详情的域和卡所有者是否经过验证。

交易中的卡持有者验证方法既没有经过认证，也没有进行加密保护。攻击过程中会对卡的数据对象Card Transaction Qualifiers进行修改。修改会使得终端认为：

1）PIN验证是不需要的；

2）卡所有者在客户设备上经过了验证。

这些修改都是在发送给第二个手机之前在运行POS模拟器的智能手机上实现的，然后中继到真实的POS设备上，真实的POS设备是无法判断交易数据是否经过修改的。

测试

苏黎世联邦理工学院的研究人员称进行了测试发现攻击是可行的，而且可以绕过Visa Credit、Visa Electron和VPay cards的PIN码。

研究人员称已经通知了Visa，但ZDNet联系Visa后还没有得到回应。

后续

研究人员在发现该漏洞的同时，还发现了另外一个影响Mastercard和Visa的安全问题：分析表明，在用Visa或者老版本的Mastercard卡进行线下无接触支付时，卡不会对终端的ApplicationCryptogram(AC)进行认证。因此，攻击者可以诱使终端接收一个非真实的线下交易。之后，当收单机构提交交易数据后，发卡行就会检测到错误的密文，但是攻击者的线下交易已经完成了。

相关研究成果已被IEEE S&P 21录用，论文下载地址：https://arxiv.org/pdf/2006.08249.pdf

参考及来源：https://www.zdnet.com/article/academics-bypass-pins-for-visa-contactless-payments/