要安全與好用pos機怎么辦

網(wǎng)上有很多關(guān)于要安全與好用pos機怎么辦,拉卡拉POS機被爆重大安全漏洞的知識，也有很多人為大家解答關(guān)于要安全與好用pos機怎么辦的問(wèn)題，今天pos機之家(m.xjcwpx.cn)為大家整理了關(guān)于這方面的知識，讓我們一起來(lái)看下吧!

本文目錄一覽：

1、要安全與好用pos機怎么辦

要安全與好用pos機怎么辦

文章首發(fā)于公眾號支付之家網(wǎng)

zfzjcn丨微信

www.zfzj.cn丨網(wǎng)址

支付之家網(wǎng)（WWW.ZFZJ.CN） 10月24日， GeekPwn2017國際安全極客大賽在上海召開(kāi)，知名持牌第三方支付機構拉卡拉旗下智能POS產(chǎn)品在大賽中被爆存在重大安全漏洞，挑戰選手僅用21分鐘即攻破POS機并成功復制銀行卡進(jìn)行消費。

現在使用現金消費的情況越來(lái)越少了，很多商家開(kāi)始采用多合一的智能POS機收單。與傳統POS機相比，智能產(chǎn)品帶來(lái)了豐富功能，也產(chǎn)生了許多問(wèn)題。

手捂著(zhù)輸密碼，銀行卡密碼就不會(huì )丟嗎？這場(chǎng)攻破賽的挑戰者是來(lái)自盤(pán)古團隊的聞?dòng)^行和趙振江，他們要展示的是利用拉卡拉POS設備的漏洞，在POS機器中替換關(guān)鍵應用軟件，然后獲得所有在POS機上的刷卡信息，并復制銀行卡進(jìn)行消費。

10:00:20 2017-10-24

破解項目：拉卡拉POS機銀行卡復制

被破解設備：拉卡拉 云POS A8

評委：諸葛建偉、萬(wàn)濤

破解團隊：上海盤(pán)古團隊

選手：聞?dòng)^行、趙振江

10:05:16 2017-10-24

拉卡拉POS機破解進(jìn)行中。

10:08:19 2017-10-24

破解緊張進(jìn)行中，因為現場(chǎng)藍牙設備過(guò)多，存在一定干擾，目前破解尚未成功，距離結束僅剩8分鐘。雷鋒網(wǎng)報道中提及，“在這組選手挑戰過(guò)程中，現場(chǎng)環(huán)境受到了較多未知來(lái)源的藍牙干擾，這可能是現場(chǎng)觀(guān)眾無(wú)意打開(kāi)的，也可能是有人刻意為之，難不成拉卡拉派了間諜？”

10:26:41 2017-10-24

時(shí)間剩余僅剩下1:29秒，已經(jīng)找到現場(chǎng)干擾源，主辦發(fā)提供的胸卡自帶藍牙，因為有限空間內設備太多，導致干擾過(guò)大。目前選手改用有線(xiàn)連接方式進(jìn)行數據傳輸。

10:29:31 2017-10-24

很遺憾，20分鐘倒數計時(shí)結束，未能完成現場(chǎng)破解演示，但是這并不代表拉卡拉POS機絕對安全，應現場(chǎng)觀(guān)眾要求，多給選手5分鐘，采用有線(xiàn)連接方式進(jìn)行繼續破解，不知道是否可以成功？

10:32:27 2017-10-24

加時(shí)賽，1分25秒，拉卡拉POS機破解成功，目前正在驗證中。

10:37:12 2017-10-24

選手成功讀取銀行卡信息、密碼，并使用復制的新卡消費成功，雖然破解不算成功，但是演示成功！

以上圖片來(lái)自安全客，雖然挑戰者沒(méi)有挑戰成功，但是漏洞依然存在，畢竟現實(shí)中的網(wǎng)絡(luò )黑客不會(huì )只嘗試20分鐘攻破POS機。

公開(kāi)資料顯示，拉卡拉成立于2005年，于2011年5月3日成功獲得人民銀行頒發(fā)的《支付業(yè)務(wù)許可證》，目前已經(jīng)續展成功有效期至2021年5月2日。拉卡拉支付牌照業(yè)務(wù)類(lèi)型覆蓋互聯(lián)網(wǎng)支付、移動(dòng)電話(huà)支付、數字電視支付、銀行卡收單、預付卡受理，屬于千金難買(mǎi)的全牌照支付公司，其在國內第三方移動(dòng)支付領(lǐng)域和線(xiàn)下銀行卡收單行業(yè)保持交易規模前三。

2016年2月，拉卡拉嘗試用資產(chǎn)注入的方式，重組上市公司“西藏旅游”。重組預案公布后引起諸多質(zhì)疑，市場(chǎng)認為西藏旅游通過(guò)精妙設計故意規避借殼，上交所也連續發(fā)出多封重組問(wèn)詢(xún)函，要求公司進(jìn)行解釋說(shuō)明。在重重壓力下，西藏旅游在去年6月份終止與拉卡拉的重組。

今年3月3日，證監會(huì )披露了拉卡拉在創(chuàng )業(yè)板上市的招股說(shuō)明書(shū)。此次IPO，系拉卡拉獨立拆分“拉卡拉支付”業(yè)務(wù)上市，而非集團層面的IPO。根據首次公開(kāi)IPO申報稿，拉卡拉擬發(fā)行不超過(guò)4001萬(wàn)股，目標是登錄深交所創(chuàng )業(yè)板。

6個(gè)月后，拉卡拉因申請文件不齊備等被證監會(huì )中止IPO。拉卡拉表示被證監會(huì )列入中止IPO審查名單的原因是，律師事務(wù)所更換簽字律師。目前尚未有最新進(jìn)展的消息。

此外，拉卡拉收單業(yè)務(wù)卻也是違規重災區，過(guò)去一年，三家子公司因違規受到了央行不同程度上的處罰。2016年3月17日，拉卡拉寧波分公司因未落實(shí)特約商戶(hù)實(shí)名制，要求停止寧波市銀行卡收單業(yè)務(wù)一年；2016年10月25日，拉卡拉福建分公司因未按規定開(kāi)展客戶(hù)身份識別、未按規定保存客戶(hù)身份資料和交易記錄、未按規定報送可疑交易報告；2016年12月22日，拉卡拉安徽分公司因違反銀行卡收單業(yè)務(wù)相關(guān)規定，給予警告。

支付之家網(wǎng)（ZFZJ.CN）了解到，早在2015年10月24日的世界級黑客大賽GeekPwn嘉年華上，就有拉卡拉旗下產(chǎn)品被爆存在安全漏洞，選手成功攻破拉卡拉收款寶POS機，使卡內余額莫名消失。同樣被攻破的還有盒子支付POS機等。

選手通過(guò)安卓手機綁定拉卡拉收款寶POS機，并在手機上安裝Xposed模塊去劫持交易信息。只要用戶(hù)用銀行卡查詢(xún)余額，手機會(huì )將交易信息劫持下來(lái)，用另一張卡去刷卡轉帳，輸入任意密碼，就可以轉走前面銀行卡上的余額。整個(gè)過(guò)程選手本身并未直接接觸該銀行卡，更沒(méi)有獲得該卡密碼。

去年4月，央行發(fā)布了《非銀行支付機構分類(lèi)評級管理辦法》，系統安全被列為基本評價(jià)指標，占比15%，為第三大考量因素。

人民銀行關(guān)于《支付業(yè)務(wù)許可證》續展工作中也明確表示“在支付業(yè)務(wù)設施安全及風(fēng)險監控方面存在重大缺陷，或存在較大規模的盜竊、出賣(mài)、泄露、丟失客戶(hù)信息情形的”，應指導其客觀(guān)審慎開(kāi)展續展申請，敦促引導其開(kāi)展兼并重組，調整支付業(yè)務(wù)類(lèi)型或覆蓋范圍、穩妥安排市場(chǎng)退出等工作。

距離錢(qián)越近的地方，安全問(wèn)題不得兒戲，我們也相信拉卡拉能盡快修復漏洞！

- - - - - - - - - -

責編丨陳晨（微信zfzjcc）

支付之家網(wǎng)（WWW.ZFZJ.CN）

*文章為作者獨立觀(guān)點(diǎn)，不代表支付之家網(wǎng)立場(chǎng)*

以上就是關(guān)于要安全與好用pos機怎么辦,拉卡拉POS機被爆重大安全漏洞的知識，后面我們會(huì )繼續為大家整理關(guān)于要安全與好用pos機怎么辦的知識，希望能夠幫助到大家！