热门搜索词

热门文章

  • 功能 | 平台登录安全策略升级及二次认证...

    为了进一步提升平台账号的安全性,防止因数据泄露导致的配置篡改等风险,我们近期对平台的登录安全策略进行了全面的加固与升级。此次升级的核心在于引入了二次认证机制,该机制能够在账号触发异常登录行为时,要求用户再次进行身份验证,从而有效增强账号的保护力度。

  • [公告]11月6日关于报表及日志服务维护...

    接运营商通知,北京时间 2024-11-06 00:00~06:00 将对报表及日志服务所在机房进行割接维护。在此期间,可能会导致报表查询/下载及日志下载不可用。若您有相关操作需求,请避开此时段进行。

  • [公告]11月2日知道创宇云防御平台升级...

    知道创宇云防御平台将于北京时间 2024-11-02 01:00 至 2024-11-02 03:00 进行升级维护。升级时间预计两小时,在此期间,知道创宇云防御平台将暂停访问,若您有需要通过云防御平台进行操作的需求,请避开此时间段,提前或在升级完成后进行处理。

关注知道创宇云防御

获取最新安全动态

移动POS存在漏洞 个人信息有暴露风险

来源:环球网 2018.08.13

【环球网科技 记者 樊俊卿】近日,有驻华外媒发表文章称,近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动POS机)存在着极大的安全隐患。

有消息显示,目前,该领域的设备主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。

来自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美:其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。

“我们面临的一个非常简单的问题是,一个成本不到50美元的设备到底拥有多少安全性?”Galloway说。“考虑到这一点,我们从两个供应商和两款读卡器开始研究,但是它很快发展成为一个更大的项目。”

所有四家制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以Square和PayPal为例,漏洞是在一家名为Miura的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。

研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。

此外,流氓商家可以让mPOS设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为5万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。

研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。

研究人员发现,在Miura M010读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。Galloway指出,第三方攻击者可能特别希望使用此控件将PIN码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户PIN码。

研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。

“Miura M010读卡器是第三方信用卡芯片读卡器,我们最初提供它作为权宜之计,现在只有几百个Square卖家使用。当我们察觉到存在一个影响Miura读卡器的漏洞时,我们加快了现有计划,放弃了对M010读卡器的支持,”一位Square发言人表示。“今天,在Square生态系统中不再可能使用Miura读卡器了。”

“SumUp可以证实,从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈,”一位SumUp发言人表示。“尽管如此,研究人员一联系我们,我们的团队就成功地排除了将来出现这种欺诈企图的可能性。”

“我们认识到研究人员和我们的用户社区在帮助保持PayPal安全方面发挥的重要作用,”一位发言人在一份声明中表示。“PayPal的系统没有受到影响,我们的团队已经解决了这些问题。”

iZettle没有回复评论请求,但是研究人员表示,该公司也在修复这些漏洞。

Galloway和Yunusov对供应商的积极回应感到满意。然而,他们希望,他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。

“我们在这个市场基础上看到的问题可以更广泛地应用于物联网,”Galloway说。“像读卡器这样的东西,作为消费者或企业所有者,你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长,产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”

售前支持

400-161-0866