近日，有駐華外媒發(fā)表文章稱，近年來在中國日常生活中不斷出現(xiàn)的在小型便攜式信用卡讀卡器(通常被稱為移動 POS 機)存在著極大的安全隱患。

      有消息顯示，目前，該領(lǐng)域的設(shè)備主要由四家公司所提供—— Suqare、SumUp、iZettle 和 PayPal 。隨著設(shè)備的普及，其身上存在的安全漏洞也逐漸顯現(xiàn)，在用戶進行刷卡交易時，不法分子可以通過這些漏洞盜取你的個人信息，甚至是盜刷你的銀行卡。

      來自安全公司 Positive Technologies 的 Leigh-Anne Galloway 和 Tim Yunusov 總共研究了七款移動銷售點設(shè)備。他們發(fā)現(xiàn)的這些設(shè)備并不如宣傳的那么完美：其中存在的漏洞，能夠被他們使用藍牙或移動應(yīng)用來操作命令，修改磁條刷卡交易中的支付金額，甚至獲得銷售點設(shè)備的完全遙控。

      我們面臨的一個非常簡單的問題是，一個成本不到 50 美元的設(shè)備到底擁有多少安全性？” Galloway 說。“考慮到這一點，我們從兩個供應(yīng)商和兩款讀卡器開始研究，但是它很快發(fā)展成為一個更大的項目。”

      所有四家制造商都在解決這個問題，當(dāng)然，并非所有型號都容易受到這些漏洞的影響。以 Square 和 PayPal 為例，漏洞是在一家名為 Miura 的公司制造的第三方硬件中發(fā)現(xiàn)的。研究人員于本周四在黑帽安全會議上公布了他們的發(fā)現(xiàn)。

      研究人員發(fā)現(xiàn)，他們可以利用藍牙和移動應(yīng)用連接到設(shè)備的漏洞來攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基于芯片的交易，迫使顧客使用不太安全的磁條刷卡，使得更容易竊取數(shù)據(jù)和克隆客戶卡。

      此外，流氓商家可以讓 mPOS 設(shè)備看起來是被拒絕交易一樣，從而讓用戶重復(fù)多次刷卡，或者將磁條交易的總額更改為 5 萬美元的上線。通過攔截流量并秘密修改付款的數(shù)值，攻擊者可能會讓客戶批準(zhǔn)一項看起來正常的交易，但這項交易的金額會高得多。在這些類型的欺詐中，客戶依靠他們的銀行和信用卡發(fā)行商來保障他們的損失，但是磁條卡是一個過時的協(xié)議，繼續(xù)使用它的企業(yè)現(xiàn)在需要承擔(dān)責(zé)任。

      研究人員還報告了固件驗證和降級方面的問題，這些問題可能允許攻擊者安裝舊的或受污染的固件版本，進一步暴露器件。

      研究人員發(fā)現(xiàn)，在 Miura M010 讀卡器中，他們可以利用連接漏洞在讀卡器中獲得完整的遠程代碼執(zhí)行和文件系統(tǒng)訪問權(quán)。 Galloway 指出，第三方攻擊者可能特別希望使用此控件將 PIN 碼的模式從加密更改為明文，即“命令模式”，從而用于觀察和收集客戶 PIN 碼。

      研究人員評估了美國和歐洲地區(qū)使用的賬戶和設(shè)備，因為它們在每個地方的配置有所不同。雖然研究人員測試的所有終端都包含一些漏洞，但最糟糕的只限于其中幾個而已。

      “Miura M010 讀卡器是第三方信用卡芯片讀卡器，我們最初提供它作為權(quán)宜之計，現(xiàn)在只有幾百個 Square 賣家使用。當(dāng)我們察覺到存在一個影響 Miura 讀卡器的漏洞時，我們加快了現(xiàn)有計劃，放棄了對 M010 讀卡器的支持，”一位 Square 發(fā)言人表示。“今天，在 Square 生態(tài)系統(tǒng)中不再可能使用 Miura 讀卡器了。”

      “SumUp 可以證實，從未有人試圖通過其終端使用本報告概述的基于磁條的方法進行欺詐，”一位 SumUp 發(fā)言人表示。“盡管如此，研究人員一聯(lián)系我們，我們的團隊就成功地排除了將來出現(xiàn)這種欺詐企圖的可能性。”

      “我們認識到研究人員和我們的用戶社區(qū)在幫助保持 PayPal 安全方面發(fā)揮的重要作用，”一位發(fā)言人在一份聲明中表示。“ PayPal的系統(tǒng)沒有受到影響，我們的團隊已經(jīng)解決了這些問題。”

      iZettle 沒有回復(fù)評論請求，但是研究人員表示，該公司也在修復(fù)這些漏洞。

      Galloway 和 Yunusov 對供應(yīng)商的積極回應(yīng)感到滿意。然而，他們希望，他們的發(fā)現(xiàn)將提高人們對將安全性作為低成本嵌入式設(shè)備發(fā)展優(yōu)先事項這一更廣泛問題的認識。

      “我們在這個市場基礎(chǔ)上看到的問題可以更廣泛地應(yīng)用于物聯(lián)網(wǎng)，” Galloway 說。“像讀卡器這樣的東西，作為消費者或企業(yè)所有者，你會對某種程度的安全性有所期待。但是其中許多公司存在的時間并沒有那么長，產(chǎn)品本身也不太成熟。安全性不一定會嵌入到開發(fā)過程中。”

來源：環(huán)球網(wǎng)

標(biāo)簽： 安全 代碼 漏洞

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請與原作者聯(lián)系。