黑帽大会展示多款银行支付终端漏洞

　　英国渗透测试公司MWR InfoSecurity的两名安全研究人员表示，目前三个被广泛部署的支付终端都存在允许攻击者窃取信用卡数据和个人密码的漏洞。

　　在周三开幕的2012年黑帽安全大会上，MWR研究主管，化名为“Nils”的德国籍安全研究人员和MWR安全顾问，西班牙籍安全研究人员Rafael Dominguez Vega展示了这些漏洞。

　　Nils和Vega将他们的研究重点放在了支付终端，即PoS终端的三个特定型号上。Nils称，其中的两个型号在英国被广泛使用，但在它们也在美国被使用，而第三个型号则在美国被广泛地部署。

　　研究人员拒绝透露详细的设备型号或是设备的制造商，因为他们希望给予厂商充足的时间解决这些问题。为了防止在展示中泄漏这些信息，安全研究人员在展示中用贴纸覆盖了设备的商标和相关信息。

　　两个在英国被广泛使用的设备在支付应用，即用于处于支付流程的特定程序上存在漏洞。

　　Nils称，这些漏洞能够让攻击者控制这些设备的多个组件，如显示器、发票打印机、读卡器或密码输入键盘，而通过特制的EMV卡即可以利用这些漏洞。

　　这些卡在它们的芯片上写有恶意代码。当特制的EMV卡被插入终端的智能读卡器中这些恶意代码即可被执行。

　　在展示期间，研究人员使用了这一方法在三个测试设备中的一个设备内安装了一款赛车游戏，并通过密码输入键盘和显示器操控了所安装的游戏。

　　在第二款设备中，研究人员使用了相同的方法安装了一个专用记录卡号和密码的木马程序。通过在支付终端中插入一张不同的流氓卡可以提取木马所记录的信息。

　　犯罪分子还能够利用这些漏洞让商店员工误以为这些交易得到了银行的授权，使得犯罪分子在没有实际支付的情况拿走货物，而事实上这些交易根本没有得到银行的授权。

　　Nils称，在设备中安装的恶意程序能够阻断攻击者的银行卡所发出的支付请求，但是却可以打印出一张正规发票来误导商家。

　　尽管现场展示仅表明银行卡卡号和密码能够被记录下来，但是现实中还有多种方法可以窃取银行卡磁条中所存储的信息，Nils称。攻击者能够设计出一个恶意程序来阻止EMV交易，并要求客户采用刷卡方式来完成支付。犯罪分子需要磁条中的数据以克隆银行卡，并利用克隆卡进行欺诈性交易。

　　第三款支付终端在美国被广泛使用，与前两款设备相比，其设计更为精巧。这款设备有一个方便基于签名支付的触摸屏、一个智能读卡器、一个用于连接移动网络，支持非接触性支付的SIM卡、一个USB端口、一个以太网端口、一个能够通过本地和远程访问的管理员界面。

　　Nils称，在这些终端和远程管理员服务器间的通信并没有被加密，这意味着攻击者能够利用这一漏洞。如果攻击者获得了访问本地网络的权限，他们能够通过ARP或DNS欺骗等技术迫使支付终端与他们控制下的流氓服务器进行通信。

　　在展示期间，研究人员能够打开远程登录服务，并进行root登录，即在Linux系统中以管理员账户进行登录，这将允许他们控制设备。

　　Nils称，人们对这类设备中还存在着过多的盲目信任。如，商家相信支付终端告诉他们支付是合法的，支付处理者相信这些设备能够安全地处理信用卡卡号和个人密码。

　　在本月初，另一个安全研究团队展示了一款在德国被广泛使用的POS终端所存在的漏洞。这些漏洞允许攻击者通过本地网络侵入这类设备，然后利用这些设备窃取银行卡磁条数据和个人密码。

　　Nils目前还没有任何证据证明其他制造商所生产的支付终端也存在这类安全漏洞。不过，他表示，由于都是电脑系统，因此它们可能也存在一些弱点。

　　Nils称，在MWR研究人员的测试中，他们发现基于这些设备的软件质量良莠不齐。一些设备可能拥有安全性不错的软件，但是没有一个系统是完美的。

　　目前，研究人员已经将这些漏洞通知了所有所涉及的厂商，其中的一家厂商已经推出了一个补丁。不过，新版本通过认证，然后部署至所有的客户那里可能会需要一段时间。

转载：感谢您对网站平台的认可，以及对我们原创作品以及文章的青睐，非常欢迎各位朋友分享到个人站长或者朋友圈，但转载请说明文章出处。