freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

[BlackHat专题]各支付终端中存在的严重漏洞
2012-07-27 10:00:55
7月27日freebuf最新消息,在BlackHat2012会议中,研究人员证明三种被广泛部署的支付终端中存在漏洞,可能允许攻击者窃取信用卡数据和PIN码。
来自德国的安全研究人员Nils说:他们研究集中在三个特定型号(A、B、C)的支付终端(POS),其中两个在英国部署比较普遍,但在美国也有该终端。而第三个型号则被广泛部署在美国大多数地区。

研究人员拒绝透露确切的设备型号和制造他们的公司,因为他们想给厂商足够的时间来解决该问题。如果该问题一旦泄露,后果则不堪设想。

Nils称,这些漏洞使攻击者可以通过特制的EMV卡,控制这些设备的各个组成部分,如显示器、收据打印、读卡器和密码输入键盘。这些卡在被读取数据时候可以插入恶意代码。

研究人员在大会上用这种方法在实验装置A上安装了一个赛车游戏,并成功控制了键盘和显示器。
同时研究人员还利用同样的方法在实验装置B安装了一个记录卡号和PIN码的木马程序,然后通过插入不同的恶意卡片,提取该木马记录的记录信息。

大会中Nils提到,第三个支付终端比其他两个设备要先进,他包含了触摸屏,支持签名支付。该终端中上有:


智能读卡器
可以插入SIM卡进行通信
支持非接触式支付
一个USB端口
一个以太网端口
一个管理接口


并且该设备支持本地和远程访问。


Nils说,这些终端和远程管理服务器之间的通信都是不加密的,这意味着如果攻击者访问本地网络,他们可以使用像ARP或DNS欺骗技术,以截取该服务器通信的数据并进一步获取相关信息。

在演示过程中,研究人员能够开启telnet服务,用管理账户远程登录到支付终端的linux系统。Nils称,因时间和精力的原因,他们研究团队未去研究其他更多的终端,但不标明其他终端不存在漏洞。

本文作者:, 转载请注明来自FreeBuf.COM

# 黑帽大会 # blackhat # blackhat2012
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
评论 按时间排序

登录/注册后在FreeBuf发布内容哦

相关推荐
  • 0 文章数
  • 0 评论数
  • 0 关注者
登录 / 注册后在FreeBuf发布内容哦
收入专辑