儘管金融界對於晶片卡的使用安全,總是信誓旦旦地再三保證,但學術界卻有愈來愈多的研究在挑戰這些保證。兩位英國劍橋大學電腦實驗室安全組的學者,最近便對晶片卡的提出質疑。
晶片卡目前所使用的付款系統EMV,是由Europay、MasterCard(萬事達)及VISA三大國際組織所共同制定,全球晶片金融卡都必須依循EMV的規範,才能確保付款的互通及安全性。不過,兩位學者在他們針對EMV安全的研究計劃中,卻發現持卡人的個人資料,很可能在晶片卡的讀卡終端機(terminal)就會被竊取。
兩位學者在eBay買了一台晶片卡的終端機後,把機器拆開,移去原先的電路板,再裝入他們自己組裝,包括晶片讀卡裝置在內的硬體設備,竟然就可以讀取持卡人在晶片卡上的個人資料以及密碼。照兩位學者的說法,這些資料祇要能透過無線傳輸,讓準備製造偽卡的詐騙份子下載,就可以輕鬆完成竊取的工作。
兩位學者在英國國家廣播公司(BBC)的節目中,也顯示出運用他們的這個實驗方法,一個在書店刷卡消費的人,竟在不知不覺的狀態下,就已經被截取了卡片資料及密碼,並且輸入在另一張用來實驗的空白卡片中,而進行實驗的學者,就足以拿這張偽卡去別處進行消費。
這項實驗對於宣稱晶片卡安全的金融單位,當然是一項打擊。不過,英國的金融付費組織APACS也提出反駁。他們指實驗的學者所用的晶片卡終端機是在2002年已被廠商停產的舊機型,現在的新機型有更嚴密的密碼保護裝置。
不過,學者表示,消費者根本不可能去分辨什麼新、舊機型,但還是會拿出卡片來刷,並且輸入密碼,祇要某個單位裡有不肖員工偷偷將晶片卡的終端機內部改裝,消費者絕對不會知道。
去年,美國已有學者進行實驗,成功地針對無接觸式卡片內的個人資料進行竊取,現在,接觸式晶片卡又遭到實驗質疑,塑膠卡片的安全,發卡單位似乎需要更多的研究,才能給持卡人安全的保證。
