AG黄金城娱乐_ag黄金城官方网站


 

外媒:移动POS存在漏洞 个人信息有暴露风险

来源:AG黄金城娱乐 浏览次数: 日期:2019-07-20 02:16

  【全球网科技 记者 樊俊卿】指日,有驻华外媒颁发著作称,近年来正在中邦普通生计中接续产生的正在小型便携式信用卡读卡器(通俗被称为搬动POS机)存正在着极大的和平隐患。

  有音信显示,目前,该周围的摆设要紧由四家公司所供应——Suqare、SumUp、iZettle和PayPal。跟着摆设的普及,其身上存正在的和平纰漏也渐渐涌现,正在用户实行刷卡生意时,造孽分子可能通过这些纰漏窃取你的小我音讯,以至是盗刷你的银行卡。

  来自和平公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov总共斟酌了七款搬动贩卖点摆设。他们呈现的这些摆设并不如宣扬的那么完备:此中存正在的纰漏,不妨被他们运用蓝牙或搬动行使来操作下令,修正磁条刷卡生意中的付出金额,以至取得贩卖点摆设的一律遥控。

  “咱们面对的一个非凡简陋的题目是,一个本钱不到50美元的摆设究竟具有众少和平性?”Galloway说。“琢磨到这一点,咱们从两个供应商和两款读卡器开端斟酌,可是它很速繁荣成为一个更大的项目。”

  全盘四家制作商都正在处置这个题目,当然,并非全盘型号都容易受到这些纰漏的影响。以Square和PayPal为例,纰漏是正在一家名为Miura的公司制作的第三方硬件中呈现的。斟酌职员于本周四正在黑帽和平集会上颁发了他们的呈现。

  斟酌职员呈现,他们可能欺骗蓝牙和搬动行使毗邻到摆设的纰漏来拦截生意或修正下令。这些纰漏大概应许攻击者禁用基于芯片的生意,迫使顾客运用不太和平的磁条刷卡,使得更容易盗取数据和克隆客户卡。

  另外,无赖商家可能让mPOS摆设看起来是被拒绝生意雷同,从而让用户反复众次刷卡,或者将磁条生意的总额更改为5万美元的上线。通过拦截流量并隐藏修正付款的数值,攻击者大概会让客户照准一项看起来寻常的生意,但这项生意的金额会高得众。正在这些类型的敲诈中,客户倚赖他们的银行和信用卡发行商来保护他们的耗费,可是磁条卡是一个过期的公约,一连运用它的企业现正在需求承当负担。

  斟酌职员还呈文了固件验证和降级方面的题目,这些题目大概应许攻击者安置旧的或受污染的固件版本,进一步裸露器件。

  斟酌职员呈现,正在Miura M010读卡器中,他们可能欺骗毗邻纰漏正在读卡器中取得完全的长途代码实行和文献编制访候权。Galloway指出,第三方攻击者大概非常期望运用此控件将PIN码的形式从加密更改为明文,即“下令形式”,从而用于伺探和搜罗客户PIN码。

  斟酌职员评估了美邦和欧洲地域运用的账户和摆设,由于它们正在每个地方的摆设有所区别。固然斟酌职员测试的全盘终端都蕴涵少少纰漏,但最倒霉的只限于此中几个罢了。

  “Miura M010读卡器是第三方信用卡芯片读卡器,咱们最初供应它动作权宜之计,现正在惟有几百个Square卖家运用。当咱们察觉到存正在一个影响Miura读卡器的纰漏时,咱们加快了现有安置,放弃了对M010读卡器的撑持,”一位Square说话人外现。“本日,正在Square生态编制中不再大概运用Miura读卡器了。”

  “SumUp可能证据,从未有人试图通过其终端运用本呈文概述的基于磁条的技巧实行敲诈,”一位SumUp说话人外现。“假使如许,斟酌职员一合联咱们,咱们的团队就告成地解除了畴昔产生这种敲诈计划的大概性。”

  “咱们领悟到斟酌职员和咱们的用户社区正在助助维系PayPal和平方面施展的主要效力,”一位说话人正在一份声明中外现。“PayPal的编制没有受到影响,咱们的团队一经处置了这些题目。”

  Galloway和Yunusov对供应商的踊跃回应感触中意。然而,他们期望,他们的呈现将降低人们对将和平性动作低本钱嵌入式摆设繁荣优先事项这一更渊博题目的领悟。

AG黄金城娱乐,ag黄金城官方网站