有消息顯示，近年來在日常生活中不斷出現(xiàn)的小型便攜式信用卡讀卡器(通常被稱為移動POS機)存在著極大的安全隱患。

目前，該領(lǐng)域的移動POS設(shè)備主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。隨著設(shè)備的普及，其身上存在的安全漏洞也逐漸顯現(xiàn)，在用戶進(jìn)行刷卡交易時，不法分子可以通過這些漏洞盜取你的個人信息，甚至是盜刷你的銀行卡。

來自安全公司的研究員總共研究了七款移動POS銷售點設(shè)備。他們發(fā)現(xiàn)的這些設(shè)備并不如宣傳的那么完美，其中存在的漏洞，能夠被他們使用藍(lán)牙或移動應(yīng)用來操作命令，修改磁條刷卡交易中的支付金額，甚至獲得銷售點設(shè)備的完全遙控。“我們面臨的一個非常簡單的問題是，一個成本不到50美元的設(shè)備到底擁有多少安全性？”

所有四家移動POS制造商都在解決這個問題，當(dāng)然，并非所有型號都容易受到這些漏洞的影響。以Square和PayPal為例，漏洞是在一家名為Miura的公司制造的第三方硬件中發(fā)現(xiàn)的。研究人員發(fā)現(xiàn)，他們可以利用藍(lán)牙和移動應(yīng)用連接到設(shè)備的漏洞來攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基于芯片的交易，迫使顧客使用不太安全的磁條刷卡，使得更容易竊取數(shù)據(jù)和克隆客戶卡。

此外，流氓商家可以讓移動POS設(shè)備看起來是被拒絕交易一樣，從而讓用戶重復(fù)多次刷卡，或者將磁條交易的總額更改為5萬美元的上線。通過攔截流量并秘密修改付款的數(shù)值，攻擊者可能會讓客戶批準(zhǔn)一項看起來正常的交易，但這項交易的金額會高得多。在這些類型的欺詐中，客戶依靠他們的銀行和信用卡發(fā)行商來保障他們的損失，但是磁條卡是一個過時的協(xié)議，繼續(xù)使用它的企業(yè)現(xiàn)在需要承擔(dān)責(zé)任。

研究人員還報告了固件驗證和降級方面的問題，這些問題可能允許攻擊者安裝舊的或受污染的固件版本，進(jìn)一步暴露器件。研究人員發(fā)現(xiàn)，在Miura M010讀卡器中，他們可以利用連接漏洞在讀卡器中獲得完整的遠(yuǎn)程代碼執(zhí)行和文件系統(tǒng)訪問權(quán)。Galloway指出，第三方攻擊者可能特別希望使用此控件將PIN碼的模式從加密更改為明文，即“命令模式”，從而用于觀察和收集客戶PIN碼。

研究人員評估了美國和歐洲地區(qū)使用的賬戶和設(shè)備，因為它們在每個地方的配置有所不同。雖然研究人員測試的所有終端都包含一些漏洞，但最糟糕的只限于其中幾個而已。

ice

收藏 海報分享