歡迎光臨
每天分享高質量文章

【每日安全資訊】外媒:移動POS存在漏洞 個人資訊有暴露風險

近日,有駐華外媒發表文章稱,近年來在中國日常生活中不斷出現的在小型行動式信用卡讀卡器(通常被稱為移動POS機)存在著極大的安全隱患。有訊息顯示,目前,該領域的裝置主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。

隨著裝置的普及,其身上存在的安全漏洞也逐漸顯現,在使用者進行刷卡交易時,不法分子可以透過這些漏洞盜取你的個人資訊,甚至是盜刷你的銀行卡。


來自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov總共研究了七款移動銷售點裝置。他們發現的這些裝置並不如宣傳的那麼完美:其中存在的漏洞,能夠被他們使用藍芽或移動應用來操作命令,修改磁條刷卡交易中的支付金額,甚至獲得銷售點裝置的完全遙控。

“我們面臨的一個非常簡單的問題是,一個成本不到50美元的裝置到底擁有多少安全性?”Galloway說。“考慮到這一點,我們從兩個供應商和兩款讀卡器開始研究,但是它很快發展成為一個更大的專案。”

所有四家製造商都在解決這個問題,當然,並非所有型號都容易受到這些漏洞的影響。以Square和PayPal為例,漏洞是在一家名為Miura的公司製造的第三方硬體中發現的。研究人員於本週四在黑帽安全會議上公佈了他們的發現。

研究人員發現,他們可以利用藍芽和移動應用連線到裝置的漏洞來攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基於晶片的交易,迫使顧客使用不太安全的磁條刷卡,使得更容易竊取資料和克隆客戶卡。

此外,流氓商家可以讓mPOS裝置看起來是被拒絕交易一樣,從而讓使用者重覆多次刷卡,或者將磁條交易的總額更改為5萬美元的上線。透過攔截流量並秘密修改付款的數值,攻擊者可能會讓客戶批准一項看起來正常的交易,但這項交易的金額會高得多。在這些型別的欺詐中,客戶依靠他們的銀行和信用卡發行商來保障他們的損失,但是磁條卡是一個過時的協議,繼續使用它的企業現在需要承擔責任。

研究人員還報告了韌體驗證和降級方面的問題,這些問題可能允許攻擊者安裝舊的或受汙染的韌體版本,進一步暴露器件。

研究人員發現,在Miura M010讀卡器中,他們可以利用連線漏洞在讀卡器中獲得完整的遠端程式碼執行和檔案系統訪問權。Galloway指出,第三方攻擊者可能特別希望使用此控制元件將PIN碼的樣式從加密更改為明文,即“命令樣式”,從而用於觀察和收集客戶PIN碼。

研究人員評估了美國和歐洲地區使用的賬戶和裝置,因為它們在每個地方的配置有所不同。雖然研究人員測試的所有終端都包含一些漏洞,但最糟糕的只限於其中幾個而已。

“Miura M010讀卡器是第三方信用卡晶片讀卡器,我們最初提供它作為權宜之計,現在只有幾百個Square賣家使用。當我們察覺到存在一個影響Miura讀卡器的漏洞時,我們加快了現有計劃,放棄了對M010讀卡器的支援,”一位Square發言人表示。“今天,在Square生態系統中不再可能使用Miura讀卡器了。”

“SumUp可以證實,從未有人試圖透過其終端使用本報告概述的基於磁條的方法進行欺詐,”一位SumUp發言人表示。“儘管如此,研究人員一聯絡我們,我們的團隊就成功地排除了將來出現這種欺詐企圖的可能性。”

“我們認識到研究人員和我們的使用者社群在幫助保持PayPal安全方面發揮的重要作用,”一位發言人在一份宣告中表示。“PayPal的系統沒有受到影響,我們的團隊已經解決了這些問題。”

iZettle沒有回覆評論請求,但是研究人員表示,該公司也在修複這些漏洞。

Galloway和Yunusov對供應商的積極回應感到滿意。然而,他們希望,他們的發現將提高人們對將安全性作為低成本嵌入式裝置發展優先事項這一更廣泛問題的認識。

“我們在這個市場基礎上看到的問題可以更廣泛地應用於物聯網,”Galloway說。“像讀卡器這樣的東西,作為消費者或企業所有者,你會對某種程度的安全性有所期待。但是其中許多公司存在的時間並沒有那麼長,產品本身也不太成熟。安全性不一定會嵌入到開發過程中。”

*來自:環球網

更多資訊

◈ 對暗網上俄羅斯駭客論壇的深入調查

http://t.cn/RDTWXlS

◈ 佛羅裡達州一男子因參與跨州SIM卡駭客團夥被捕

http://t.cn/RDTWC1u

◈ 臺積電生產線“中毒”停擺3天 損失超10億元

http://t.cn/RDTW0j0

◈ 外媒:移動POS存在漏洞 個人資訊有暴露風險

http://t.cn/RDTWlLK

(資訊來源於網路,安華金和蒐集整理)

贊(0)

分享創造快樂