有消息显示,近年来在日常生活中不断出现的小型便携式信用卡读卡器(通常被称为移动POS机)存在着极大的安全隐患。
目前,该领域的移动POS设备主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。
来自安全公司的研究员总共研究了七款移动POS销售点设备。他们发现的这些设备并不如宣传的那么完美,其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。“我们面临的一个非常简单的问题是,一个成本不到50美元的设备到底拥有多少安全性?”
所有四家移动POS制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以Square和PayPal为例,漏洞是在一家名为Miura的公司制造的第三方硬件中发现的。研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。
此外,流氓商家可以让移动POS设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为5万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。
研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。研究人员发现,在Miura M010读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。Galloway指出,第三方攻击者可能特别希望使用此控件将PIN码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户PIN码。
研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。