Creo que son ataques ligeramente diferentes, en el blog lightbluetouchpaper la cuña envía un MAC falso de vuelta a la terminal, en el otro ataque la tarjeta envía el MAC. Esta es la razón por la que el segundo ataque puede funcionar en línea, utiliza un MAC genuino que el banco aceptará.
El blog está dirigido por los investigadores de Cambridge, Ross Anderson, Steven Murdoch et al. El documento original que presentó el segundo ataque que funciona en línea "Chip and PIN is Broken" se puede encontrar aquí:
enlace
En el documento, los investigadores sugieren algunas posibles soluciones y por qué no funcionarían en la 'Sección de soluciones y no soluciones de VI'. El punto principal que hacen es que para implementar una solución efectiva, el estándar de EMV tendría que cambiarse, lo que sería una cosa increíblemente costosa debido a la gran cantidad de comerciantes, tarjetas y bancos que utilizan la implementación actual y hasta donde estoy Consciente de que no se ha implementado ninguna solución para el estándar.
Es posible que los bancos individuales solucionen esto haciendo que el terminal envíe el CVMR (Resultado del Método de Verificación del Titular de la Tarjeta) al banco para que el banco pueda verificar lo que la tarjeta pensaba que había pasado en la transacción y compararlo con lo que el pensamiento terminal había ocurrido, entonces podían ver que el terminal pensaba que se usaba un PIN y la tarjeta pensaba que se usaba una firma para saber que algo estaba mal. Como dice el documento
De muchos, solo hemos visto una tarjeta EMV que solicita este campo,
y no está claro si el emisor realmente valida el CVMR
Contra la DIA. Si este fi jo funciona para un banco dado dependerá de
sus sistemas; No hemos podido probarlo, y dado que
implica volver a emitir la base de la tarjeta que llevaría años desarrollarse.
Por lo tanto, la única manera de saber si se han hecho arreglos es probando las tarjetas recién emitidas, que yo sepa, no se ha publicado nada sobre esto.