¿Se ha corregido la falla de seguridad de la cuña para las tarjetas de crédito?

4

Según este sitio enlace hay una falla en el EMV. Desde entonces, ¿se ha solucionado este defecto?

¿Es la misma ley que la expuesta por la BBC / Cambridge University? enlace

enlace

porque eso funciona después incluso cuando el terminal realiza una conexión con el banco "no se detecta, incluso cuando el comerciante tiene una conexión en línea a la red bancaria"

mientras que el primero no parece como se dice:

"el ataque de cuña puede detectarse si el terminal se conecta, porque la comprobación de MAC fallará".

Si no, ¿no se explica claramente la solución a ese tipo de falla? ¿Puede el Banco o el usuario hacer algo para protegerse contra esto?

    
pregunta user310291 27.05.2012 - 08:56
fuente

1 respuesta

2

Creo que son ataques ligeramente diferentes, en el blog lightbluetouchpaper la cuña envía un MAC falso de vuelta a la terminal, en el otro ataque la tarjeta envía el MAC. Esta es la razón por la que el segundo ataque puede funcionar en línea, utiliza un MAC genuino que el banco aceptará.

El blog está dirigido por los investigadores de Cambridge, Ross Anderson, Steven Murdoch et al. El documento original que presentó el segundo ataque que funciona en línea "Chip and PIN is Broken" se puede encontrar aquí: enlace

En el documento, los investigadores sugieren algunas posibles soluciones y por qué no funcionarían en la 'Sección de soluciones y no soluciones de VI'. El punto principal que hacen es que para implementar una solución efectiva, el estándar de EMV tendría que cambiarse, lo que sería una cosa increíblemente costosa debido a la gran cantidad de comerciantes, tarjetas y bancos que utilizan la implementación actual y hasta donde estoy Consciente de que no se ha implementado ninguna solución para el estándar.

Es posible que los bancos individuales solucionen esto haciendo que el terminal envíe el CVMR (Resultado del Método de Verificación del Titular de la Tarjeta) al banco para que el banco pueda verificar lo que la tarjeta pensaba que había pasado en la transacción y compararlo con lo que el pensamiento terminal había ocurrido, entonces podían ver que el terminal pensaba que se usaba un PIN y la tarjeta pensaba que se usaba una firma para saber que algo estaba mal. Como dice el documento

  

De muchos, solo hemos visto una tarjeta EMV que solicita este campo,   y no está claro si el emisor realmente valida el CVMR   Contra la DIA. Si este fi jo funciona para un banco dado dependerá de   sus sistemas; No hemos podido probarlo, y dado que   implica volver a emitir la base de la tarjeta que llevaría años desarrollarse.

Por lo tanto, la única manera de saber si se han hecho arreglos es probando las tarjetas recién emitidas, que yo sepa, no se ha publicado nada sobre esto.

    
respondido por el Peanut 27.05.2012 - 18:44
fuente

Lea otras preguntas en las etiquetas