[BlackHat专题]各支付终端中存在的严重漏洞

2012-07-27 93317人围观 ,发现 3 个不明物体 头条

7月27日freebuf最新消息,在BlackHat2012会议中,研究人员证明三种被广泛部署的支付终端中存在漏洞,可能允许攻击者窃取信用卡数据和PIN码。
来自德国的安全研究人员Nils说:他们研究集中在三个特定型号(A、B、C)的支付终端(POS),其中两个在英国部署比较普遍,但在美国也有该终端。而第三个型号则被广泛部署在美国大多数地区。

研究人员拒绝透露确切的设备型号和制造他们的公司,因为他们想给厂商足够的时间来解决该问题。如果该问题一旦泄露,后果则不堪设想。

Nils称,这些漏洞使攻击者可以通过特制的EMV卡,控制这些设备的各个组成部分,如显示器、收据打印、读卡器和密码输入键盘。这些卡在被读取数据时候可以插入恶意代码。

研究人员在大会上用这种方法在实验装置A上安装了一个赛车游戏,并成功控制了键盘和显示器。
同时研究人员还利用同样的方法在实验装置B安装了一个记录卡号和PIN码的木马程序,然后通过插入不同的恶意卡片,提取该木马记录的记录信息。

大会中Nils提到,第三个支付终端比其他两个设备要先进,他包含了触摸屏,支持签名支付。该终端中上有:

智能读卡器
可以插入SIM卡进行通信
支持非接触式支付
一个USB端口
一个以太网端口
一个管理接口

并且该设备支持本地和远程访问。

Nils说,这些终端和远程管理服务器之间的通信都是不加密的,这意味着如果攻击者访问本地网络,他们可以使用像ARP或DNS欺骗技术,以截取该服务器通信的数据并进一步获取相关信息。

在演示过程中,研究人员能够开启telnet服务,用管理账户远程登录到支付终端的linux系统。Nils称,因时间和精力的原因,他们研究团队未去研究其他更多的终端,但不标明其他终端不存在漏洞。

发表评论

已有 3 条评论

取消
Loading...
css.php