移动POS存在漏洞 个人信息有暴露风险

来源:环球网2019.06.20

【环球网科技 记者 樊俊卿】近日,有驻华外媒发表文章称,近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动POS机)存在着极大的安全隐患。

有消息显示,目前,该领域的设备主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。

来自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美:其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。

“我们面临的一个非常简单的问题是,一个成本不到50美元的设备到底拥有多少安全性?”Galloway说。“考虑到这一点,我们从两个供应商和两款读卡器开始研究,但是它很快发展成为一个更大的项目。”

所有四家制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以Square和PayPal为例,漏洞是在一家名为Miura的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。

研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。

此外,流氓商家可以让mPOS设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为5万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。

研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。

研究人员发现,在Miura M010读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。Galloway指出,第三方攻击者可能特别希望使用此控件将PIN码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户PIN码。

研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。

“Miura M010读卡器是第三方信用卡芯片读卡器,我们最初提供它作为权宜之计,现在只有几百个Square卖家使用。当我们察觉到存在一个影响Miura读卡器的漏洞时,我们加快了现有计划,放弃了对M010读卡器的支持,”一位Square发言人表示。“今天,在Square生态系统中不再可能使用Miura读卡器了。”

“SumUp可以证实,从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈,”一位SumUp发言人表示。“尽管如此,研究人员一联系我们,我们的团队就成功地排除了将来出现这种欺诈企图的可能性。”

“我们认识到研究人员和我们的用户社区在帮助保持PayPal安全方面发挥的重要作用,”一位发言人在一份声明中表示。“PayPal的系统没有受到影响,我们的团队已经解决了这些问题。”

iZettle没有回复评论请求,但是研究人员表示,该公司也在修复这些漏洞。

Galloway和Yunusov对供应商的积极回应感到满意。然而,他们希望,他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。

“我们在这个市场基础上看到的问题可以更广泛地应用于物联网,”Galloway说。“像读卡器这样的东西,作为消费者或企业所有者,你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长,产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态