According to the report, by means of a man-in-the-middle attack, it is possible to fool the terminal into thinking that the card has accepted the PIN entered and the card into thinking that the terminal has switched back to signature verification. The payment is then authorised as normal and the terminal prints out a receipt with the words "Verified with PIN".
ケブンッリジ だがいく (スコア:0)
Re:ケブンッリジ だがいく (スコア:3, 参考になる)
リンク先より引用:
カードと端末の間でMITMして、端末機側には「正しく認証されました!」って言って、カード側には「署名(多分電子署名じゃなくて手で書く署名)認証に切り替えるよ!」って言う。で、その後の取引処理を進める、という感じみたいですね。認証されたことを意味する応答が何らかのチャレンジレスポンスになっておらず、0x9000固定だったとのこと。
Re:ケブンッリジ だがいく (スコア:2, 参考になる)
開発中の案件にて、とってもよく似た脆弱性があるのに気づいたんだけ
ど、予算と日程と偉い人からの指摘却下によりそのままになってるんだ
よな~。ま、ハックしたって誰にも大した利益にならないから大丈夫だ
ろうけど。
結局、製造に入る前の検証が甘かったからなんだけど、前工程って時間
とお金ってくれないんだよね~。
しかも、後工程でどんどん追加変更されちゃうし。
#問題が起きたときにはその時の偉い人はいないことがおおいってのも
また問題。
Re: (スコア:0)
Re: (スコア:0)
> ISO 9000sって、そのような際に元のエラい人に首をくくらせるためにあるのでは?
んなもん、役にたたんです。
・偉い人が率先してISO9000(正確には自分たちで決めている品質保証体系)を
無視して行動している。もっと偉い人は「ちゃんと守ってね(はぁと)」って
言うだけだし。
・さすがに品質記録を持ち出して全面対決するほどの顕在化した問題はそうそう
おきない。
Re: (スコア:0)
ISOって元請け視線からみると、そういう下請けの技術屋さんやラインの諸々を下請けのエラい人を通じて上からコントロールできるようにするツールですから、諦めて下さい。
国内で手を突っ込んでくるのは大手数社しかないですが、ヨーロッパ系列に足を踏み入れると歩留の高さ、トレーサビリティの確かさと製品および品質改善のロードマップその他もろもろ品質管理体制までベンチマーキングの対象にされて導入前から導入後、導入後も定期的に監視対象に置かれたりするそれなりにえぐいシステムに変わります。
その代わりに見返りもちゃんと出るので何ヶ所も突っ込むと経営者も意味がわかってくるんですけどね。
Re: (スコア:0)
キャッシュカードもそうだけど、クレジットカードって客を信用(credit)するんじゃなくて攻撃者の善意を信用(credit)してるんですね。
そこらじゅう穴だらけ。
もう一から規格作り直したほうがいいんじゃないかと。