辦理pos機風(fēng)險,移動(dòng)POS存在漏洞 個(gè)人信息有暴露風(fēng)險

網(wǎng)上有很多關(guān)于辦理pos機風(fēng)險,移動(dòng)POS存在漏洞 個(gè)人信息有暴露風(fēng)險的知識，也有很多人為大家解答關(guān)于辦理pos機風(fēng)險的問(wèn)題，今天pos機之家(m.xjcwpx.cn)為大家整理了關(guān)于這方面的知識，讓我們一起來(lái)看下吧!

本文目錄一覽：

1、辦理pos機風(fēng)險

辦理pos機風(fēng)險

近日，有駐華外媒發(fā)表文章稱(chēng)，近年來(lái)在中國日常生活中不斷出現的在小型便攜式信用卡讀卡器(通常被稱(chēng)為移動(dòng)POS機)存在著(zhù)極大的安全隱患。

有消息顯示，目前，該領(lǐng)域的設備主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。隨著(zhù)設備的普及，其身上存在的安全漏洞也逐漸顯現，在用戶(hù)進(jìn)行刷卡交易時(shí)，不法分子可以通過(guò)這些漏洞盜取你的個(gè)人信息，甚至是盜刷你的銀行卡。

來(lái)自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov總共研究了七款移動(dòng)銷(xiāo)售點(diǎn)設備。他們發(fā)現的這些設備并不如宣傳的那么完美：其中存在的漏洞，能夠被他們使用藍牙或移動(dòng)應用來(lái)操作命令，修改磁條刷卡交易中的支付金額，甚至獲得銷(xiāo)售點(diǎn)設備的完全遙控。

“我們面臨的一個(gè)非常簡(jiǎn)單的問(wèn)題是，一個(gè)成本不到50美元的設備到底擁有多少安全性？”Galloway說(shuō)?！翱紤]到這一點(diǎn)，我們從兩個(gè)供應商和兩款讀卡器開(kāi)始研究，但是它很快發(fā)展成為一個(gè)更大的項目?！?/p>

所有四家制造商都在解決這個(gè)問(wèn)題，當然，并非所有型號都容易受到這些漏洞的影響。以Square和PayPal為例，漏洞是在一家名為Miura的公司制造的第三方硬件中發(fā)現的。研究人員于本周四在黑帽安全會(huì )議上公布了他們的發(fā)現。

研究人員發(fā)現，他們可以利用藍牙和移動(dòng)應用連接到設備的漏洞來(lái)攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基于芯片的交易，迫使顧客使用不太安全的磁條刷卡，使得更容易竊取數據和克隆客戶(hù)卡。

此外，流氓商家可以讓mPOS設備看起來(lái)是被拒絕交易一樣，從而讓用戶(hù)重復多次刷卡，或者將磁條交易的總額更改為5萬(wàn)美元的上線(xiàn)。通過(guò)攔截流量并秘密修改付款的數值，攻擊者可能會(huì )讓客戶(hù)批準一項看起來(lái)正常的交易，但這項交易的金額會(huì )高得多。在這些類(lèi)型的欺詐中，客戶(hù)依靠他們的銀行和信用卡發(fā)行商來(lái)保障他們的損失，但是磁條卡是一個(gè)過(guò)時(shí)的協(xié)議，繼續使用它的企業(yè)現在需要承擔責任。

研究人員還報告了固件驗證和降級方面的問(wèn)題，這些問(wèn)題可能允許攻擊者安裝舊的或受污染的固件版本，進(jìn)一步暴露器件。

研究人員發(fā)現，在Miura M010讀卡器中，他們可以利用連接漏洞在讀卡器中獲得完整的遠程代碼執行和文件系統訪(fǎng)問(wèn)權。Galloway指出，第三方攻擊者可能特別希望使用此控件將PIN碼的模式從加密更改為明文，即“命令模式”，從而用于觀(guān)察和收集客戶(hù)PIN碼。

研究人員評估了美國和歐洲地區使用的賬戶(hù)和設備，因為它們在每個(gè)地方的配置有所不同。雖然研究人員測試的所有終端都包含一些漏洞，但最糟糕的只限于其中幾個(gè)而已。

“Miura M010讀卡器是第三方信用卡芯片讀卡器，我們最初提供它作為權宜之計，現在只有幾百個(gè)Square賣(mài)家使用。當我們察覺(jué)到存在一個(gè)影響Miura讀卡器的漏洞時(shí)，我們加快了現有計劃，放棄了對M010讀卡器的支持，”一位Square發(fā)言人表示?！敖裉?，在Square生態(tài)系統中不再可能使用Miura讀卡器了?！?/p>

“SumUp可以證實(shí)，從未有人試圖通過(guò)其終端使用本報告概述的基于磁條的方法進(jìn)行欺詐，”一位SumUp發(fā)言人表示?！氨M管如此，研究人員一聯(lián)系我們，我們的團隊就成功地排除了將來(lái)出現這種欺詐企圖的可能性?！?/p>

“我們認識到研究人員和我們的用戶(hù)社區在幫助保持PayPal安全方面發(fā)揮的重要作用，”一位發(fā)言人在一份聲明中表示?！癙ayPal的系統沒(méi)有受到影響，我們的團隊已經(jīng)解決了這些問(wèn)題?！?/p>

iZettle沒(méi)有回復評論請求，但是研究人員表示，該公司也在修復這些漏洞。

Galloway和Yunusov對供應商的積極回應感到滿(mǎn)意。然而，他們希望，他們的發(fā)現將提高人們對將安全性作為低成本嵌入式設備發(fā)展優(yōu)先事項這一更廣泛?jiǎn)?wèn)題的認識。

“我們在這個(gè)市場(chǎng)基礎上看到的問(wèn)題可以更廣泛地應用于物聯(lián)網(wǎng)，”Galloway說(shuō)?！跋褡x卡器這樣的東西，作為消費者或企業(yè)所有者，你會(huì )對某種程度的安全性有所期待。但是其中許多公司存在的時(shí)間并沒(méi)有那么長(cháng)，產(chǎn)品本身也不太成熟。安全性不一定會(huì )嵌入到開(kāi)發(fā)過(guò)程中?！?

以上就是關(guān)于辦理pos機風(fēng)險,移動(dòng)POS存在漏洞 個(gè)人信息有暴露風(fēng)險的知識，后面我們會(huì )繼續為大家整理關(guān)于辦理pos機風(fēng)險的知識，希望能夠幫助到大家！