網(wǎng)上有很多關(guān)于辦理pos機(jī)風(fēng)險(xiǎn),移動(dòng)POS存在漏洞 個(gè)人信息有暴露風(fēng)險(xiǎn)的知識(shí),也有很多人為大家解答關(guān)于辦理pos機(jī)風(fēng)險(xiǎn)的問(wèn)題,今天pos機(jī)之家(www.rcqwhg.com)為大家整理了關(guān)于這方面的知識(shí),讓我們一起來(lái)看下吧!
本文目錄一覽:
辦理pos機(jī)風(fēng)險(xiǎn)
近日,有駐華外媒發(fā)表文章稱,近年來(lái)在中國(guó)日常生活中不斷出現(xiàn)的在小型便攜式信用卡讀卡器(通常被稱為移動(dòng)POS機(jī))存在著極大的安全隱患。
有消息顯示,目前,該領(lǐng)域的設(shè)備主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。隨著設(shè)備的普及,其身上存在的安全漏洞也逐漸顯現(xiàn),在用戶進(jìn)行刷卡交易時(shí),不法分子可以通過(guò)這些漏洞盜取你的個(gè)人信息,甚至是盜刷你的銀行卡。
來(lái)自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov總共研究了七款移動(dòng)銷售點(diǎn)設(shè)備。他們發(fā)現(xiàn)的這些設(shè)備并不如宣傳的那么完美:其中存在的漏洞,能夠被他們使用藍(lán)牙或移動(dòng)應(yīng)用來(lái)操作命令,修改磁條刷卡交易中的支付金額,甚至獲得銷售點(diǎn)設(shè)備的完全遙控。
“我們面臨的一個(gè)非常簡(jiǎn)單的問(wèn)題是,一個(gè)成本不到50美元的設(shè)備到底擁有多少安全性?”Galloway說(shuō)。“考慮到這一點(diǎn),我們從兩個(gè)供應(yīng)商和兩款讀卡器開(kāi)始研究,但是它很快發(fā)展成為一個(gè)更大的項(xiàng)目。”
所有四家制造商都在解決這個(gè)問(wèn)題,當(dāng)然,并非所有型號(hào)都容易受到這些漏洞的影響。以Square和PayPal為例,漏洞是在一家名為Miura的公司制造的第三方硬件中發(fā)現(xiàn)的。研究人員于本周四在黑帽安全會(huì)議上公布了他們的發(fā)現(xiàn)。
研究人員發(fā)現(xiàn),他們可以利用藍(lán)牙和移動(dòng)應(yīng)用連接到設(shè)備的漏洞來(lái)攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基于芯片的交易,迫使顧客使用不太安全的磁條刷卡,使得更容易竊取數(shù)據(jù)和克隆客戶卡。
此外,流氓商家可以讓mPOS設(shè)備看起來(lái)是被拒絕交易一樣,從而讓用戶重復(fù)多次刷卡,或者將磁條交易的總額更改為5萬(wàn)美元的上線。通過(guò)攔截流量并秘密修改付款的數(shù)值,攻擊者可能會(huì)讓客戶批準(zhǔn)一項(xiàng)看起來(lái)正常的交易,但這項(xiàng)交易的金額會(huì)高得多。在這些類型的欺詐中,客戶依靠他們的銀行和信用卡發(fā)行商來(lái)保障他們的損失,但是磁條卡是一個(gè)過(guò)時(shí)的協(xié)議,繼續(xù)使用它的企業(yè)現(xiàn)在需要承擔(dān)責(zé)任。
研究人員還報(bào)告了固件驗(yàn)證和降級(jí)方面的問(wèn)題,這些問(wèn)題可能允許攻擊者安裝舊的或受污染的固件版本,進(jìn)一步暴露器件。
研究人員發(fā)現(xiàn),在Miura M010讀卡器中,他們可以利用連接漏洞在讀卡器中獲得完整的遠(yuǎn)程代碼執(zhí)行和文件系統(tǒng)訪問(wèn)權(quán)。Galloway指出,第三方攻擊者可能特別希望使用此控件將PIN碼的模式從加密更改為明文,即“命令模式”,從而用于觀察和收集客戶PIN碼。
研究人員評(píng)估了美國(guó)和歐洲地區(qū)使用的賬戶和設(shè)備,因?yàn)樗鼈冊(cè)诿總€(gè)地方的配置有所不同。雖然研究人員測(cè)試的所有終端都包含一些漏洞,但最糟糕的只限于其中幾個(gè)而已。
“Miura M010讀卡器是第三方信用卡芯片讀卡器,我們最初提供它作為權(quán)宜之計(jì),現(xiàn)在只有幾百個(gè)Square賣家使用。當(dāng)我們察覺(jué)到存在一個(gè)影響Miura讀卡器的漏洞時(shí),我們加快了現(xiàn)有計(jì)劃,放棄了對(duì)M010讀卡器的支持,”一位Square發(fā)言人表示?!敖裉?,在Square生態(tài)系統(tǒng)中不再可能使用Miura讀卡器了?!?/p>
“SumUp可以證實(shí),從未有人試圖通過(guò)其終端使用本報(bào)告概述的基于磁條的方法進(jìn)行欺詐,”一位SumUp發(fā)言人表示?!氨M管如此,研究人員一聯(lián)系我們,我們的團(tuán)隊(duì)就成功地排除了將來(lái)出現(xiàn)這種欺詐企圖的可能性?!?/p>
“我們認(rèn)識(shí)到研究人員和我們的用戶社區(qū)在幫助保持PayPal安全方面發(fā)揮的重要作用,”一位發(fā)言人在一份聲明中表示?!癙ayPal的系統(tǒng)沒(méi)有受到影響,我們的團(tuán)隊(duì)已經(jīng)解決了這些問(wèn)題。”
iZettle沒(méi)有回復(fù)評(píng)論請(qǐng)求,但是研究人員表示,該公司也在修復(fù)這些漏洞。
Galloway和Yunusov對(duì)供應(yīng)商的積極回應(yīng)感到滿意。然而,他們希望,他們的發(fā)現(xiàn)將提高人們對(duì)將安全性作為低成本嵌入式設(shè)備發(fā)展優(yōu)先事項(xiàng)這一更廣泛?jiǎn)栴}的認(rèn)識(shí)。
“我們?cè)谶@個(gè)市場(chǎng)基礎(chǔ)上看到的問(wèn)題可以更廣泛地應(yīng)用于物聯(lián)網(wǎng),”Galloway說(shuō)?!跋褡x卡器這樣的東西,作為消費(fèi)者或企業(yè)所有者,你會(huì)對(duì)某種程度的安全性有所期待。但是其中許多公司存在的時(shí)間并沒(méi)有那么長(zhǎng),產(chǎn)品本身也不太成熟。安全性不一定會(huì)嵌入到開(kāi)發(fā)過(guò)程中?!?
以上就是關(guān)于辦理pos機(jī)風(fēng)險(xiǎn),移動(dòng)POS存在漏洞 個(gè)人信息有暴露風(fēng)險(xiǎn)的知識(shí),后面我們會(huì)繼續(xù)為大家整理關(guān)于辦理pos機(jī)風(fēng)險(xiǎn)的知識(shí),希望能夠幫助到大家!