国外媒体:由于个人信息的脆弱性,移动POS具有暴露风险

时间: 2018-08-14 12:45:02 作者: 管理员

最近,一家外国媒体在中国发表的一篇文章说,近年来在中国的日常生活中不断出现的小型便携式信用卡阅读器(俗称移动POS机)具有很大的安全风险。

目前,这一领域的设备主要是由四家公司——SuqRAE、SUMUP、IZETLE和PayPal等提供的,随着这些设备的普及,它们的安全漏洞也逐渐浮出水面。当用户刷卡时,罪犯可以窃取您的个人信息,甚至刷卡您的银行卡。
安全公司积极技术的Leigh Anne Galloway和Tim Yunusov研究了七个移动销售点设备。他们发现的设备并不像广告所说的那么完美:它们有漏洞,可以用来操作蓝牙或移动应用程序的命令,修改磁性支付。条纹卡交易,甚至得到全遥控点的销售设备。
我们面临的一个非常简单的问题是,一台造价不到50美元的设备有多少安全性?”加洛韦说,“考虑到这一点,我们从两个供应商和两个读卡器开始,但很快就发展成一个更大的项目。”
所有四家制造商都在解决这个问题,当然,并非所有的模型都易受这些漏洞的影响。在方形和PayPal的情况下,在由Miura公司制造的第三方硬件中发现了bug。会议。
研究人员发现,他们可以使用蓝牙和移动设备连接到设备中的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使客户使用较少安全的磁条刮刀,使之成为可能。更容易窃取数据和克隆客户卡。
此外,流氓商家可以使MPOS设备看起来像是被拒绝交易,允许用户多次刷卡或将磁条交易的总金额更改为在线50000美元。NT,攻击者可以让客户批准看似正常的交易,但交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行人来确保他们的损失,但是磁条卡是过时的协议,而BSI。继续使用它的人们现在需要承担责任。
研究人员还报告了固件验证和退化的问题,这可能允许攻击者安装更旧或被污染的固件版本,从而进一步暴露设备。
研究人员发现,在三浦M010读卡器中,他们可以利用连接漏洞来获得完整的远程代码执行和读卡器中的文件系统访问。加洛韦指出,第三方攻击者可能特别希望使用该控件来更改PIN。从加密到明文的模式,或“命令模式”,用于查看和收集客户引脚。研究人员评估了在美国和欧洲使用的帐户和设备,因为它们在每个位置配置不同。而所有的终端,研究人员测试CONT。一些漏洞,最坏的情况只限于少数。
“三浦M010阅读器是一个第三方信用卡芯片阅读器,我们最初提供的是一种临时措施,现在只被几百平方厂商使用。http://dis.zxhost.cn/thread-1625-1-1.html当我们检测到影响三浦读卡器的漏洞时,我们加快了现有的计划,放弃了对M010卡的支持。“读者,”一位广场发言人说,“今天,在广场生态系统中不再使用MIULA读卡器了。”
“SUPUP可以证实,从来没有人试图通过使用本报告中概述的基于磁铁的方法通过终端进行欺诈行为,”SUMUP发言人说,“然而,一旦研究人员联系我们,我们的团队成功排除了这种欺诈的可能性。未来的尝试。”
“我们认识到研究人员和我们的用户群体在帮助保持PayPal安全方面发挥的重要作用,”一位发言人在一份声明中说,“PayPal的系统没有受到影响,我们的团队已经解决了这些问题。”
IZettle没有回复记者的置评请求,但研究人员表示,该公司也正在努力修复这些漏洞。
加洛韦和Yunusov对供应商的积极反应感到满意。然而,他们希望他们的发现将提高对更广泛的安全问题的认识,作为低成本嵌入式设备的发展重点。
“我们在这个市场上看到的问题可以更广泛地应用到物联网上,”加洛韦说,“像信用卡阅读器一样,作为消费者或企业主,你会期望某种程度的安全性,但是很多这样的公司并没有这么长时间,而且它们的产品。自我是不成熟的,安全不一定嵌入在开发过程中。