[摘要] 原标题:【Black Hat 18】:小心mPOS读卡机内含安全漏洞,窜改消费金额让你荷包大失血 示意图,与新闻事件无关。 企业安全解决方案供应商Positive△Technologies在上周举行的黑帽(Black△
原标题:【Black Hat 18】:小心mPOS读卡机内含安全漏洞,窜改消费金额让你荷包大失血
示意图,与新闻事件无关。 企业安全解决方案供应商Positive△Technologies在上周举行的黑帽(Black△Hat)骇客大会上指出,行动收银机(mobile△point-of-sale,mPOS)装置含有众多漏洞,将允许不良商家窜改荧幕上...
示意图,与新闻事件无关。
企业安全解决方案供应商Positive△Technologies在上周举行的黑帽(Black△Hat)骇客大会上指出,行动收银机(mobile△point-of-sale,mPOS)装置含有众多漏洞,将允许不良商家窜改荧幕上所显示的金额,或是让骇客取得消费者的支付卡资讯。
mPOS可借由智能手机、平板电脑或无线装置来执行支付卡的收银功能,它借由蓝牙连至装置上的行动程式,再将资料传送至支付供应商的伺服器上。根据电子交易协会(Electronic△Transactions△Association,ETA)的预测,到了2019年,全球的收银终端将有接近半数采用mPOS。而Positive评估的是在美国与欧洲市场的热门品牌,包括Square、SumUp、 iZettle与PayPal。
Positive表示,这4个品牌的mPOS装置或多或少都存有安全漏洞,这些漏洞允许骇客执行中间人攻击,通过蓝牙或行动程式传递任意程式,或者是变更磁条交易的支付款项,也能远端执行程式。
例如有些mPOS读卡机在执行蓝牙传输时没有采用安全的配对机制,而让邻近的骇客得以入侵,进而执行中间人攻击,像是允许不良商家变更消费者在荧幕上所看到的讯息,也许是看到交易失败的假讯息,让消费者用其它方式再付一次款项,或者是在荧幕上显示与实际支付金额不符的数字。
还有两个读卡机含有任意程式攻击漏洞,让骇客得以存取装置的档案系统,在加密前拦截卡片资讯。
有鉴于基于磁条扫描的支付卡比晶片卡更容易外泄资料,因此Positive建议商家应避免采用磁卡交易,而是利用晶片+PIN码、晶片+签名或非接触式支付选项。Positive已将研究结果提报给上述业者,在发表报告之际皆已修补。
橙山网(Csnd.net)简评:企业安全解决方案供应商Positive△Technologies在上周举行的黑帽(Black△Hat)骇客大会上指出,行动收银机(mobile△point-of-sale,mPOS)装置含有众多漏洞,
网友评论