正在阅读: 外媒:移动POS存在漏洞 个人信息有暴露风险
科技频道> 网事 > 正文

外媒:移动POS存在漏洞 个人信息有暴露风险

2018-08-13 09:04来源:环球网

  近日,有驻华外媒发表文章称,近年来在中国日常生活中不断出现的在小型便携式信用卡读卡器(通常被称为移动POS机)存在着极大的安全隐患。

  有消息显示,目前,该领域的设备主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。随着设备的普及,其身上存在的安全漏洞也逐渐显现,在用户进行刷卡交易时,不法分子可以通过这些漏洞盗取你的个人信息,甚至是盗刷你的银行卡。

  来自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov总共研究了七款移动销售点设备。他们发现的这些设备并不如宣传的那么完美:其中存在的漏洞,能够被他们使用蓝牙或移动应用来操作命令,修改磁条刷卡交易中的支付金额,甚至获得销售点设备的完全遥控。

  “我们面临的一个非常简单的问题是,一个成本不到50美元的设备到底拥有多少安全性?”Galloway说。“考虑到这一点,我们从两个供应商和两款读卡器开始研究,但是它很快发展成为一个更大的项目。”

  所有四家制造商都在解决这个问题,当然,并非所有型号都容易受到这些漏洞的影响。以Square和PayPal为例,漏洞是在一家名为Miura的公司制造的第三方硬件中发现的。研究人员于本周四在黑帽安全会议上公布了他们的发现。

  研究人员发现,他们可以利用蓝牙和移动应用连接到设备的漏洞来拦截交易或修改命令。这些漏洞可能允许攻击者禁用基于芯片的交易,迫使顾客使用不太安全的磁条刷卡,使得更容易窃取数据和克隆客户卡。

  此外,流氓商家可以让mPOS设备看起来是被拒绝交易一样,从而让用户重复多次刷卡,或者将磁条交易的总额更改为5万美元的上线。通过拦截流量并秘密修改付款的数值,攻击者可能会让客户批准一项看起来正常的交易,但这项交易的金额会高得多。在这些类型的欺诈中,客户依靠他们的银行和信用卡发行商来保障他们的损失,但是磁条卡是一个过时的协议,继续使用它的企业现在需要承担责任。

  研究人员还报告了固件验证和降级方面的问题,这些问题可能允许攻击者安装旧的或受污染的固件版本,进一步暴露器件。

  研究人员发现,在Miura M010读卡器中,他们可以利用连接漏洞在读卡器中获得完整的远程代码执行和文件系统访问权。Galloway指出,第三方攻击者可能特别希望使用此控件将PIN码的模式从加密更改为明文,即“命令模式”,从而用于观察和收集客户PIN码。

  研究人员评估了美国和欧洲地区使用的账户和设备,因为它们在每个地方的配置有所不同。虽然研究人员测试的所有终端都包含一些漏洞,但最糟糕的只限于其中几个而已。

  “Miura M010读卡器是第三方信用卡芯片读卡器,我们最初提供它作为权宜之计,现在只有几百个Square卖家使用。当我们察觉到存在一个影响Miura读卡器的漏洞时,我们加快了现有计划,放弃了对M010读卡器的支持,”一位Square发言人表示。“今天,在Square生态系统中不再可能使用Miura读卡器了。”

  “SumUp可以证实,从未有人试图通过其终端使用本报告概述的基于磁条的方法进行欺诈,”一位SumUp发言人表示。“尽管如此,研究人员一联系我们,我们的团队就成功地排除了将来出现这种欺诈企图的可能性。”

  “我们认识到研究人员和我们的用户社区在帮助保持PayPal安全方面发挥的重要作用,”一位发言人在一份声明中表示。“PayPal的系统没有受到影响,我们的团队已经解决了这些问题。”

  iZettle没有回复评论请求,但是研究人员表示,该公司也在修复这些漏洞。

  Galloway和Yunusov对供应商的积极回应感到满意。然而,他们希望,他们的发现将提高人们对将安全性作为低成本嵌入式设备发展优先事项这一更广泛问题的认识。

  “我们在这个市场基础上看到的问题可以更广泛地应用于物联网,”Galloway说。“像读卡器这样的东西,作为消费者或企业所有者,你会对某种程度的安全性有所期待。但是其中许多公司存在的时间并没有那么长,产品本身也不太成熟。安全性不一定会嵌入到开发过程中。”樊俊卿

[责编:赵清建]

阅读剩余全文(

相关阅读

您此时的心情

新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 朝韩离散家属在朝鲜金刚山共进晚餐

  • 时代楷模:海军海口舰

独家策划

推荐阅读
截至今年6月30日,我国网民规模达8.02亿,互联网普及率达57.7%,出行、环保、金融、医疗等行业与互联网融合程度加深,互联网普惠化成果显著。截至今年6月,我国网络直播用户规模达4.25亿,较2017年末微增294万,用户使用率为53%,较2017年末下降1.7个百分点。
2018-08-20 17:05
日本一家公司近日就开始预售新一代“全息虚拟妻子”,目标人群为独居单身男性。日本Gatebox公司推出的这个虚拟家庭机器人名为“逢妻光”,外观为一个约20厘米高的动画风格少女,她站在一个圆柱形投影仪里。
2018-08-20 16:58
联通大脑和机器,是人类不断运用新技术增强自身能力的过程,正如我们运用汽车突破行走的速度限制,用电话突破听力的范围限制。
2018-08-20 13:24
“浮星”由天津大学青岛海洋工程研究院李醒飞教授牵头负责实施,获得青岛海洋科学与技术试点国家实验室“问海计划”专项的支持。
2018-08-20 09:32
据了解,苏宁的机器人和无人车自主导航采用的是另一种“多线激光雷达+GPS+惯导等多传感器融合定位方式”。
2018-08-20 09:31
前不久,澳大利亚科学家在癌症研究领域迈出了重大的一步,他们发现了一种新型药物,可以使小鼠体内癌细胞不再分裂和增殖,并将动物的癌细胞置于永久睡眠状态,进而有效阻止小鼠血液癌症和肝癌的进展以及延缓癌症复发。
2018-08-20 09:27
一项最新研究发现,单层的可渗透织物——在该研究中是厕纸——导致易被水润湿的球体产生异常高的水花,但增加一些织物层能完全阻止水花产生。
2018-08-20 09:26
绯红金刚鹦鹉能飞越墨西哥热带地区、中美洲和亚马逊流域。但是它们的骨骼为何会出现在美国西南部沙漠的考古遗址中?
2018-08-20 09:26
一种基于荧光素酶的成像技术,展示了肿瘤细胞融合从而在活体动物转移性继发肿瘤中形成杂交细胞的首个例子。
2018-08-20 09:26
大象体内癌细胞的数量是人类的100倍。统计显示,有约17%的人死于癌症,却只有不到5%的大象死于癌症。
2018-08-20 09:26
除了美味,欧洲鳗鱼还困扰了生物学家1个多世纪。它们在河口和溪流中度过成年生活,并且前往百慕大群岛附近的马尾藻海繁殖。
2018-08-20 09:25
日本宇宙航空研究开发机构(JAXA)日前表示,该国的隼鸟2号探测器已于8月7日到达了距离小行星“龙宫”的最接近点。
2018-08-20 09:25
在全球最大热带湖泊——维多利亚湖的浅水水域,游动着约500种丽鱼。它们拥有各种令人眼花缭乱的外表以及迥异的栖息地和行为。
2018-08-20 09:25
迅雷不及掩耳,打着“中国首个自主创新智能浏览器内核”招牌的“红芯”浏览器前脚刚宣布完成2.5亿元C轮融资,后脚就被拆穿西洋镜。所谓“自主”,不过是把谷歌内核拿来换了个头面;随之,其创始团队核心人员神乎其神的学历和履历也被曝掺假,水分很大。
2018-08-20 09:24
不久前,国内第一个获得“中国机器人认证”的服务机器人厂商上海棠宝深陷倒闭风波,创始人王明高负债出逃。如何让服务机器人更加智能化是考验企业的难题,也是制约其商用化的最大痛点和难点。
2018-08-20 09:24
由美国宇航局(NASA)资助的一个用于探测可能撞击地球的小行星的望远镜网络将会首次扩展到南半球,而南半球目前还缺乏此类大规模的小行星监测工作。这些额外的天文台不仅可以探测到可能伤害人类的小行星,还能探测到彗星、超新星和其他天体。
2018-08-20 09:24
日前,来自马萨诸塞州总医院医学工程中心(MGH-CEM)的研究人员研发出一种简单的方法,可以使水和水基溶液在远低于“冰点”的温度下能够很长时间保持液态。
2018-08-20 09:24
2018世界机器人大会上,各类活动精彩纷呈,图为观众正在观看服务型机器人。作为全球领先的运动控制系统和配件供应商,美国科尔摩根公司推出的解决方案被全球60%的协作机器人厂商采用。
2018-08-20 09:23
在主流App中,许多账户登录及资金操作都可以通过手机号码加短信验证码的方式实现,对于用户来说,这种操作为自己带来方便,无需记忆复杂的密码;但对于别有用心的犯罪分子来说,他们可以利用简单的设备获取用户的验证码,从而操控用户账户,提现、消费,甚至贷款。
2018-08-20 09:23
刚刚过去的一周,对一家名叫红芯的创业公司来说无疑尴尬至极。但这些创新点显然远远不足以支撑“中国首个自主创新智能浏览器内核”的名号。其实,红芯并不是近期唯一一个因“自主创新”是否名副其实而陷入争议的中国公司。
2018-08-20 09:23
加载更多