蘇黎世的瑞士工程學(xué)院的研究人員發(fā)現(xiàn)了一個新的漏洞，非接觸式萬事達(dá)卡和Maestro密碼可以被輕松繞過。該漏洞的關(guān)鍵之處在于，如果利用得當(dāng)，盜賊可以使用被入侵的萬事達(dá)卡或Maestro卡進(jìn)行非接觸式支付，而無需輸入密碼來完成交易。

要實現(xiàn)上述做法，需要首先在兩部Android智能手機(jī)上安裝專用軟件。一個設(shè)備用于模擬正在安裝的銷售點終端，而另一個則作為一個卡片模擬器，允許將修改后的交易信息傳輸?shù)秸嬲匿N售點設(shè)備。一旦卡片啟動交易，它就會泄露所有相關(guān)信息。

蘇黎世聯(lián)邦理工學(xué)院的專家證實，這是一次孤立的攻擊，但隨著非接觸式支付方式的更多漏洞被揭開，這很容易在現(xiàn)實生活中被利用。過去，同一個團(tuán)隊成功地繞過了Visa的非接觸式支付密碼，研究人員你在"EMV標(biāo)準(zhǔn)：破解、修復(fù)、驗證"研究論文中詳細(xì)描述了這一實驗。

目前的實驗集中在非Visa非接觸式支付協(xié)議使用的卡上的PIN繞過，但使用的都是相同的策略和已知的漏洞。該團(tuán)隊能夠攔截Visa的非接觸式支付規(guī)范，并將交易方面轉(zhuǎn)移到一個真正的銷售點終端，該終端并不知道交易憑據(jù)的來源，直接驗證并確認(rèn)了PIN和購卡者的身份，因此PoS也不需要進(jìn)行進(jìn)一步的檢查和身份鑒別流程。

不管是Visa、Mastercard還是Maestro，ETH都成功地進(jìn)行了實驗，這并不是數(shù)以百萬計的非接觸式卡用戶所希望聽到的。由于這個漏洞的嚴(yán)重性及其潛在的后果難以估量，研究人員沒有透露所使用的應(yīng)用程序的名稱。

（舉報）