杏彩故事

您当前的位置主页 > 杏彩故事 > 正文

国外媒体:移动POS存在漏洞,个人信息面临风险

日期:2019-01-01

据悉,目前,该领域的设备主要由四家公司提供——Suqare、SumUp、iZettle和PayPal。随着设备的普及,其中的安全漏洞逐渐显现。当用户进行信用卡交易时,犯罪分子可以通过这些漏洞窃取您的个人信息,甚至窃取您的银行卡。

来自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov研究了7种移动销售点设备。他们发现的设备并不像广告中那样完美:存在漏洞,他们可以使用蓝牙或移动应用来操纵命令,修改磁条卡交易中的支付金额,甚至可以完全远程控制销售点设备。

“我们面临的一个非常简单的问题是设备成本低于50美元的安全性有多少?”加洛韦说。 “考虑到这一点,我们从两个供应商和两个读者开始,但它很快演变成一个更大的项目。”

所有四家制造商都在解决这个问题,当然并非所有型号都容易受到这些漏洞的影响。对于Square和PayPal,该漏洞是在一家名为Miura的公司制造的第三方硬件中发现的。研究人员周四在黑帽安全会议上宣布了他们的研究结果。

研究人员发现,他们可以使用蓝牙和移动应用程序连接设备漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使客户使用安全性较低的磁条卡,从而更容易窃取数据并克隆客户卡。

此外,流氓商家可以使mPOS设备看起来被拒绝作为交易,允许用户反复刷卡或将磁条交易总额改为50,000美元。通过拦截流量并秘密修改支付的价值,攻击者可以要求客户批准看起来正常的交易,但交易金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发卡机构来保护他们的损失,但磁条卡是一种过时的协议,而现在继续使用它的公司需要承担责任。

研究人员还报告了固件验证和降级问题,这些问题可能允许攻击者安装旧的或受污染的固件版本以进一步暴露设备。

国外媒体:移动POS存在漏洞,个人信息面临风险

研究人员发现,在MiuraM010阅读器中,他们可以利用连接漏洞在阅读器中获得完整的远程代码执行和文件系统访问。 Galloway指出,第三方攻击者可能特别希望使用此控件将PIN码的模式从加密更改为明文,即“命令模式”,用于观察和收集客户PIN码。

杏彩平台,全新平台注册登录,杏彩24小时运营,网站客服全天为您服务。