<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 1, 2015 at 2:19 PM, Tony Arcieri <span dir="ltr"><<a href="mailto:bascule@gmail.com" target="_blank">bascule@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class="">On Thu, Oct 1, 2015 at 5:27 AM, Phillip Hallam-Baker <span dir="ltr"><<a href="mailto:phill@hallambaker.com" target="_blank">phill@hallambaker.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><div>Are there any attacks against EMV that don't involve using the payment mechanisms that only require the card number?</div></div></div></div></blockquote><div><br></div></span><div>Yes, there is a rich history of attacks on EMV, e.g.:</div><div><br></div><div><a href="http://sec.cs.ucl.ac.uk/users/smurdoch/papers/oakland14chipandskim.pdf" target="_blank">http://sec.cs.ucl.ac.uk/users/smurdoch/papers/oakland14chipandskim.pdf</a></div><div><a href="http://krebsonsecurity.com/2015/04/revolution-crimeware-emv-replay-attacks/" target="_blank">http://krebsonsecurity.com/2015/04/revolution-crimeware-emv-replay-attacks/</a><span class="HOEnZb"><font color="#888888"><br></font></span></div></div><span class="HOEnZb"><font color="#888888"><div><br></div></font></span></div></div></blockquote><div><br></div><div>Both papers describe attacks on the legacy or transitional features. </div><div><br></div><div>If the banks are checking the transactions correctly, the counter based fraud is detectable. And the rest is the 'fallback fraud' that depends on being able to circumvent the EMV system completely.</div><div><br></div><div>Neither is a good reason to delay deployment of EMV.</div><div><br></div><div>The most important change that comes with EMV is realigning ability to impose security measures with liability for the loss. The fact that a bank can screw up and get defrauded is irrelevant AFAIC f they are going to be bearing the responsibility for the loss. Companies that sell crap POS terminals will get sured out of business.</div><div><br></div><div>Which is of course where most of the complaining about Chip and Signature comes.</div><div><br></div><div>Incidentally, it seems Chip and Sign is actually a better security solution overall because Chip and PIN encourages people to enter their PIN into things that are not ATMs. And the ATMs are taking the longest to get switched over from magstripe.</div></div></div></div>