有消息顯示，近年來(lái)在日常生活中不斷出現(xiàn)的小型便攜式信用卡讀卡器(通常被稱為移動(dòng)POS機(jī))存在著極大的安全隱患。

目前，該領(lǐng)域的移動(dòng)POS設(shè)備主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。隨著設(shè)備的普及，其身上存在的安全漏洞也逐漸顯現(xiàn)，在用戶進(jìn)行刷卡交易時(shí)，不法分子可以通過(guò)這些漏洞盜取你的個(gè)人信息，甚至是盜刷你的銀行卡。

來(lái)自安全公司的研究員總共研究了七款移動(dòng)POS銷售點(diǎn)設(shè)備。他們發(fā)現(xiàn)的這些設(shè)備并不如宣傳的那么完美，其中存在的漏洞，能夠被他們使用藍(lán)牙或移動(dòng)應(yīng)用來(lái)操作命令，修改磁條刷卡交易中的支付金額，甚至獲得銷售點(diǎn)設(shè)備的完全遙控?！拔覀兠媾R的一個(gè)非常簡(jiǎn)單的問(wèn)題是，一個(gè)成本不到50美元的設(shè)備到底擁有多少安全性？”

所有四家移動(dòng)POS制造商都在解決這個(gè)問(wèn)題，當(dāng)然，并非所有型號(hào)都容易受到這些漏洞的影響。以Square和PayPal為例，漏洞是在一家名為Miura的公司制造的第三方硬件中發(fā)現(xiàn)的。研究人員發(fā)現(xiàn)，他們可以利用藍(lán)牙和移動(dòng)應(yīng)用連接到設(shè)備的漏洞來(lái)攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基于芯片的交易，迫使顧客使用不太安全的磁條刷卡，使得更容易竊取數(shù)據(jù)和克隆客戶卡。

此外，流氓商家可以讓移動(dòng)POS設(shè)備看起來(lái)是被拒絕交易一樣，從而讓用戶重復(fù)多次刷卡，或者將磁條交易的總額更改為5萬(wàn)美元的上線。通過(guò)攔截流量并秘密修改付款的數(shù)值，攻擊者可能會(huì)讓客戶批準(zhǔn)一項(xiàng)看起來(lái)正常的交易，但這項(xiàng)交易的金額會(huì)高得多。在這些類型的欺詐中，客戶依靠他們的銀行和信用卡發(fā)行商來(lái)保障他們的損失，但是磁條卡是一個(gè)過(guò)時(shí)的協(xié)議，繼續(xù)使用它的企業(yè)現(xiàn)在需要承擔(dān)責(zé)任。

研究人員還報(bào)告了固件驗(yàn)證和降級(jí)方面的問(wèn)題，這些問(wèn)題可能允許攻擊者安裝舊的或受污染的固件版本，進(jìn)一步暴露器件。研究人員發(fā)現(xiàn)，在Miura M010讀卡器中，他們可以利用連接漏洞在讀卡器中獲得完整的遠(yuǎn)程代碼執(zhí)行和文件系統(tǒng)訪問(wèn)權(quán)。Galloway指出，第三方攻擊者可能特別希望使用此控件將PIN碼的模式從加密更改為明文，即“命令模式”，從而用于觀察和收集客戶PIN碼。

研究人員評(píng)估了美國(guó)和歐洲地區(qū)使用的賬戶和設(shè)備，因?yàn)樗鼈冊(cè)诿總€(gè)地方的配置有所不同。雖然研究人員測(cè)試的所有終端都包含一些漏洞，但最糟糕的只限于其中幾個(gè)而已。

ice

收藏 海報(bào)分享