Penso che siano attacchi leggermente diversi, nel blog di lightbluetouchpaper il cuneo invia un falso MAC al terminale, nell'altro attacco la carta invia il MAC. Questo è il motivo per cui il secondo attacco può funzionare online, utilizza un MAC originale che la banca accetterà.
Il blog è gestito dai ricercatori di Cambridge, Ross Anderson, Steven Murdoch et al. Il documento originale che ha presentato il secondo attacco che funziona online "Chip and PIN is Broken" può essere trovato qui:
link
Nel documento i ricercatori suggeriscono alcune possibili soluzioni e perché non lavorerebbero / non lavorerebbero nella sezione "Soluzioni VI e non soluzioni". Il punto principale che fanno è che per implementare una soluzione efficace lo standard EMV dovrebbe essere cambiato, il che sarebbe una cosa incredibilmente costosa da fare a causa di un gran numero di commercianti, carte e banche che utilizzano l'attuale implementazione e per quanto mi riguarda consapevole che non ci sono state correzioni per lo standard.
Sarebbe possibile per le singole banche risolvere il problema mandando il terminale a inviare alla banca il CVMR (risultato del metodo di verifica del titolare della carta) in modo che la banca potesse verificare ciò che la carta riteneva fosse avvenuta nella transazione e confrontarla con il pensiero terminale era accaduto, potevano quindi vedere che il terminale pensava che fosse stato usato un PIN e la carta pensava che fosse stata usata una firma, quindi sapeva che qualcosa non andava. Come dice il giornale
Out of many, we have only seen one EMV card which requests this field,
and it is not clear that the issuer actually validates the CVMR
against the IAD. Whether this fix works for a given bank will depend on
its systems; we have not been able to test it, and given that it
involves reissuing the card base it would take years to roll out.
Quindi l'unico modo per sapere se sono state fatte le correzioni è testare le carte appena emesse, per quanto ne so non è stato pubblicato nulla su questo.