• <code id="a6isi"></code>
  • <code id="a6isi"><samp id="a6isi"></samp></code>
    <code id="a6isi"></code>
  • <strong id="a6isi"></strong>
  • 歡迎,客人 | 請登錄 | 免費注冊 | 忘記密碼?

     

    外媒:移動POS機存在漏洞 個人信息有暴露風險

    發布日期:2018-08-13  中國POS機網
    核心提示近日,有駐華外媒發表文章稱,近年來在中國日常生活中不斷出現的在小型便攜式信用卡讀卡器(通常被稱為移動POS機)存在著極大的安全隱患。有消息顯示,目前,該領域的設備主要由四家公司所提供Suqare、SumUp、iZettle
     近日,有駐華外媒發表文章稱,近年來在中國日常生活中不斷出現的在小型便攜式信用卡讀卡器(通常被稱為移動POS機)存在著極大的安全隱患。
    有消息顯示,目前,該領域的設備主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。隨著設備的普及,其身上存在的安全漏洞也逐漸顯現,在用戶進行刷卡交易時,不法分子可以通過這些漏洞盜取你的個人信息,甚至是盜刷你的銀行卡。
    來自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov總共研究了七款移動銷售點設備。他們發現的這些設備并不如宣傳的那么完美:其中存在的漏洞,能夠被他們使用藍牙或移動應用來操作命令,修改磁條刷卡交易中的支付金額,甚至獲得銷售點設備的完全遙控。
    “我們面臨的一個非常簡單的問題是,一個成本不到50美元的設備到底擁有多少安全性?”Galloway說。“考慮到這一點,我們從兩個供應商和兩款讀卡器開始研究,但是它很快發展成為一個更大的項目。”
    所有四家制造商都在解決這個問題,當然,并非所有型號都容易受到這些漏洞的影響。以Square和PayPal為例,漏洞是在一家名為Miura的公司制造的第三方硬件中發現的。研究人員于本周四在黑帽安全會議上公布了他們的發現。
    研究人員發現,他們可以利用藍牙和移動應用連接到設備的漏洞來攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基于芯片的交易,迫使顧客使用不太安全的磁條刷卡,使得更容易竊取數據和克隆客戶卡。
    此外,流氓商家可以讓mPOS設備看起來是被拒絕交易一樣,從而讓用戶重復多次刷卡,或者將磁條交易的總額更改為5萬美元的上線。通過攔截流量并秘密修改付款的數值,攻擊者可能會讓客戶批準一項看起來正常的交易,但這項交易的金額會高得多。在這些類型的欺詐中,客戶依靠他們的銀行和信用卡發行商來保障他們的損失,但是磁條卡是一個過時的協議,繼續使用它的企業現在需要承擔責任。
    研究人員還報告了固件驗證和降級方面的問題,這些問題可能允許攻擊者安裝舊的或受污染的固件版本,進一步暴露器件。
    研究人員發現,在Miura M010讀卡器中,他們可以利用連接漏洞在讀卡器中獲得完整的遠程代碼執行和文件系統訪問權。Galloway指出,第三方攻擊者可能特別希望使用此控件將PIN碼的模式從加密更改為明文,即“命令模式”,從而用于觀察和收集客戶PIN碼。
    研究人員評估了美國和歐洲地區使用的賬戶和設備,因為它們在每個地方的配置有所不同。雖然研究人員測試的所有終端都包含一些漏洞,但最糟糕的只限于其中幾個而已。
    “Miura M010讀卡器是第三方信用卡芯片讀卡器,我們最初提供它作為權宜之計,現在只有幾百個Square賣家使用。當我們察覺到存在一個影響Miura讀卡器的漏洞時,我們加快了現有計劃,放棄了對M010讀卡器的支持,”一位Square發言人表示。“今天,在Square生態系統中不再可能使用Miura讀卡器了。”
    “SumUp可以證實,從未有人試圖通過其終端使用本報告概述的基于磁條的方法進行欺詐,”一位SumUp發言人表示。“盡管如此,研究人員一聯系我們,我們的團隊就成功地排除了將來出現這種欺詐企圖的可能性。”
    “我們認識到研究人員和我們的用戶社區在幫助保持PayPal安全方面發揮的重要作用,”一位發言人在一份聲明中表示。“PayPal的系統沒有受到影響,我們的團隊已經解決了這些問題。”
    iZettle沒有回復評論請求,但是研究人員表示,該公司也在修復這些漏洞。
    Galloway和Yunusov對供應商的積極回應感到滿意。然而,他們希望,他們的發現將提高人們對將安全性作為低成本嵌入式設備發展優先事項這一更廣泛問題的認識。
    “我們在這個市場基礎上看到的問題可以更廣泛地應用于物聯網,”Galloway說。“像讀卡器這樣的東西,作為消費者或企業所有者,你會對某種程度的安全性有所期待。但是其中許多公司存在的時間并沒有那么長,產品本身也不太成熟。安全性不一定會嵌入到開發過程中。”
    13-1
     

    圖文推薦

    您在本欄的歷史瀏覽
    熱門資訊

    中國POS機行業權威門戶網站 引領行業發展


    微信號:pos580com

    網站首頁 | 網站地圖 | 誠征英才 | 關于我們 | 聯系方式 | 使用協議 | 版權隱私 | 排名推廣 | 廣告服務 | 積分換禮 | 網站留言 | RSS訂閱

    版權所有:中國POS機網 北京瑞紀華人科技有限公司 京ICP證060984 京ICP備07503063號

    聯系電話:010-51658061 E-mail:bjsale#pos580.com(請把#替換成@)在線QQ:841617225

    站所有信息均屬本站版權所有,如需轉載請注明來源地址 域名:www.jrqa.tw



    贵州十一选五开奖走势图