这几位剑桥大学的学生,平时不好好上网把妹打魔兽,竟然把大部份的时间都花在找出常用在芯片信用卡上的 EMV 认证机制的漏洞( 话说回来,破解这个好像真的比较有赚头 )。

在这边我们并不打算深入说明实际破解的方法( 因为...我们也没有 ),只就上面这张概念图加以说明。简单来说,一般正常的芯片卡交易的程序依循为:输入认证码>终端机将输入的密码送给芯片卡>芯片卡进行认证>确认结果。

而这个称之为「人卡在中间」(Man-in-the-middle)的破解方法,主要就是在输入密码的终端机与芯片卡之间塞进一个不管怎么问都会回答「您对」的中间人,通过它毫不脸红的说谎技术,不管终端机送什么样的密码过去,中间人都会回传认证成功的讯息,因此终端机就会以为芯片卡已经确认过这组密码而准许进行交易。

假如这样说明还是没办法让您明白的话,跳转后有更白话的范例及配上相当戏剧化音效的新闻影片:

Read - BBC
Read - University of Cambridge范例:

路人甲 : 9527,你该不会就是唐伯虎。
唐伯虎 : 不,我不是。
路人甲 : 好,他不是,放过他吧。

目前这组团队已经成功利用这个方式骗过英国当地银行的在线认证机制进行交易,至于 ATM 部份,由于采用的验证方式不太一样,因此目前尚未完成破解( 该不会是因为扮演中间人的那张卡片多了好几条电线,塞不进 ATM 机器里,所以没办法破解? )。我们并不确定中国采用的认证机制是否也会有相同的问题,如果有的话那得赶紧想法子防堵啰,因为这份论文将会发布在今年五月的 IEEE Security and Privacy 期刊上。