這幾位劍橋大學(xué)的學(xué)生，平時(shí)不好好上網(wǎng)把妹打魔獸，竟然把大部份的時(shí)間都花在找出常用在芯片信用卡上的 EMV 認(rèn)證機(jī)制的漏洞( 話說(shuō)回來(lái)，破解這個(gè)好像真的比較有賺頭 )。

    在這邊我們并不打算深入說(shuō)明實(shí)際破解的方法( 因?yàn)?..我們也沒(méi)有 )，只就上面這張概念圖加以說(shuō)明。簡(jiǎn)單來(lái)說(shuō)，一般正常的芯片卡交易的程序依循為：輸入認(rèn)證碼＞終端機(jī)將輸入的密碼送給芯片卡＞芯片卡進(jìn)行認(rèn)證＞確認(rèn)結(jié)果。

    而 這個(gè)稱之為「人卡在中間」(Man-in-the-middle)的破解方法，主要就是在輸入密碼的終端機(jī)與芯片卡之間塞進(jìn)一個(gè)不管怎么問(wèn)都會(huì)回答「您 對(duì)」的中間人，通過(guò)它毫不臉紅的說(shuō)謊技術(shù)，不管終端機(jī)送什么樣的密碼過(guò)去，中間人都會(huì)回傳認(rèn)證成功的訊息，因此終端機(jī)就會(huì)以為芯片卡已經(jīng)確認(rèn)過(guò)這組密碼而 準(zhǔn)許進(jìn)行交易。

    假如這樣說(shuō)明還是沒(méi)辦法讓您明白的話，跳轉(zhuǎn)后有更白話的范例及配上相當(dāng)戲劇化音效的新聞?dòng)捌?

    Read - BBC
    Read - University of Cambridge范例：

    路人甲 : 9527，你該不會(huì)就是唐伯虎。
    唐伯虎 : 不，我不是。
    路人甲 : 好，他不是，放過(guò)他吧。

    目前這組團(tuán)隊(duì)已經(jīng)成功利用這個(gè)方式騙過(guò)英國(guó)當(dāng)?shù)劂y行的在線認(rèn)證機(jī)制進(jìn)行交易，至于 ATM 部份，由于采用的驗(yàn)證方式不太一樣，因此目前尚未完成破解( 該不會(huì)是因?yàn)榘缪葜虚g人的那張卡片多了好幾條電線，塞不進(jìn) ATM 機(jī)器里，所以沒(méi)辦法破解？ )。我們并不確定中國(guó)采用的認(rèn)證機(jī)制是否也會(huì)有相同的問(wèn)題，如果有的話那得趕緊想法子防堵啰，因?yàn)檫@份論文將會(huì)發(fā)布在今年五月的 IEEE Security and Privacy 期刊上。