제목 : Relaying EMV Contactless Transactions Using Off-The-Self Android Devices

내용 :

우리는 레거시 모드를 사용하지 않고 사실상 모든 EMV 비접촉식 카드 및 터미널에 적용 할 수있는 EMV (Europay, MasterCard 및 Visa) Contactless의 첫 번째 취약점을 비접촉식으로 제시합니다. 특히, 매우 제한된 리소스와 널리 사용 가능한 상용 하드웨어로 릴레이 공격을 수행 할 수 있음을 보여줍니다. 우리의 PoC (proof-of-concept) 릴레이 공격은 범죄자가 피해자의 지갑 내부에있는 카드를 사용하여 POS 단말기에서 지불 할 수있는 반면, 피해자는 터미널에서 멀리 떨어져 있습니다. EMV 및 Android 전용 최적화를 사용하여 동일한 카드로 직접 수행 된 거래보다 특정 카드에 대해 더 빠른 세계 최초의 중계 트랜잭션을 보여줍니다. 따라서 가장 확실한 대책 인 타이밍 제한은 전혀 효과가 없을 것입니다.

또한 특정 발급 사의 카드 및 네덜란드에서 가장 많이 사용되는 POS 단말기의 취약점을 확인했습니다. 예를 들어, 특정 Maestro 카드에는 카드의 배포 프로세스와 관련된 취약점이 있습니다. 또한 특정 Visa 카드는 고유하지 않은 비밀 키를 사용하여 EMV 보안 요구 사항을 위반합니다. 네덜란드에서 가장 많이 사용되는 POS 단말기의 유형은 서비스 거부 (Denial-of-Service) 공격에 취약합니다.이 공격은 아마 버퍼 오버 플로우의 결과입니다.

우리의 연구 결과는 대중이 비접촉 거래를 수용하는 데 중요한 의미를 갖는다. 실제로 비접촉식 거래는 고객이 비접촉식 카드의 보안에 대해 확신하지 못하면 널리 받아 들여지지 않으며 은행은 상당한 평판 손상을 입을 수 있습니다.

Youtube 내용 중에 9분 15초 정도쯤을 보시면 취약한 내용을 보여줍니다.

Description :

We present the first vulnerabilities in EMV (Europay, MasterCard and Visa) Contactless that do not use legacy modes and that are applicable to practically all EMV Contactless cards and terminals. In particular, we show that a relay attack can be performed with very limited resources and widely available off-the-shelf hardware. Our proof-of-concept relay attack proves that a criminal can pay at a Point-of-Sale terminal, using the card inside a wallet of a victim, while the victim is arbitrary far away from the terminal. Using EMV and Android specific optimizations, we show the world's first relayed transaction that is faster for certain cards than a transaction performed directly with the same card. Therefore, the most obvious countermeasure, timing restriction, will likely not be effective at all.

Furthermore, we identified other vulnerabilities in cards from certain issuers, and in the most used type of Point-of-Sale terminals in the Netherlands. For instance, certain Maestro cards have a vulnerability that concerns the distribution process of the cards. Furthermore, certain Visa cards break the EMV security requirements by using secret keys that are not unique. The most used type of Point-of-Sale terminals in the Netherlands is vulnerable to a Denial-of-Service attack, which presumably is the result of a buffer overflow.

Our findings have significant implications for the acceptance of contactless transactions by the public. Indeed, contactless transactions will not be widely accepted by customers if they are not confident about the security of contactless cards, and banks can suffer significant reputational damage.