BITGET交易所官网BITGET交易所官网

理财、金融、保险、贷款、虚拟货币
等知识简单易懂一秒就通!

PoS终端的安全问题使消费者容易受骗

Bitget下载

注册下载Bitget下载,邀请好友,即有机会赢取 3,000 USDT

APP下载   官网注册
  研究人员详细介绍了销售点(PoS)终端中普遍存在的安全问题,特别是厂商Verifone和Ingenico生产的三个系列的终端设备中普遍存在这些问题。   这些问题已经向厂商进行了汇报,并且已经打上了补丁,该漏洞会使全球零售商使用的几款流行的PoS终端面临各种网络攻击的风险。受影响的设备包括Verifone VX520、Verifone MX系列和Ingenico Telium 2系列。这些设备已经被零售商进行广泛的使用。例如,VeriFone VX520终端已经售出了超过700万台。   网络研发实验室团队的研究人员在本周对这些漏洞的分析中说:"通过使用默认密码,我们能够通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)来执行任意代码,这些PoS终端的漏洞使攻击者能够进行任意数据包的发送、克隆卡、克隆终端,并且能够安装持久性的恶意软件。"   值得注意的是,受影响的设备是PoS终端,而不是PoS系统。PoS终端是读取支付卡(如信用卡或借记卡)的设备。PoS系统包括收银员与终端的交互,以及商家的库存和会计记录。   研究人员公布了这些PoS终端的两个安全问题。主要问题是它们在出厂时使用制造商默认的密码,但是这些密码可以使用谷歌搜索引擎来轻易地被找到。   研究人员说:"这些凭证可以对特殊的'服务模式'进行访问,这种情况下,其中的硬件配置和其他功能都是可用的,有一家叫Ingenico的制造商,会阻止你更改这些默认的密码。"   仔细分析这些特殊的 "服务模式",研究人员在拆下终端并提取出其中的固件后发现,它们包含了某些"未经公开的功能"。   研究人员说:"在Ingenico和Verifone的终端中,一些函数通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)从而实现了任意代码执行的攻击操作,20多年以来,这些'服务的超级模式'一直允许未授权访问。通常情况下,这些功能只存在于古老废弃的代码中,但这些代码现在却仍然被部署在了新的终端中。"   攻击者可以利用这些漏洞发起一系列的攻击。例如,任意代码执行攻击可以让攻击者在PoS终端与其网络之间发送和修改传输的数据。攻击者还可以读取数据,允许他们复制人们的信用卡信息,并进行信用卡诈骗。   他们说:"攻击者可以伪造和更改账户的交易,他们可以通过利用服务器端的漏洞,例如终端管理系统(TMS)中的漏洞,来攻击银行。但是这将使PoS终端与其处理器之间原有信任关系失效。"   研究人员联系了Verifone和Ingenico,同时此后针对这些问题发布了补丁。   Verifone在2019年底被告知存在此问题,研究人员后来证实,漏洞在2020年晚些时候已经被修复了。研究人员说:"在2020年11月,PCI已经在全球范围内发布了Verifone终端紧急更新的消息。"   同时,研究人员表示,他们花了近两年的时间才联系到Ingenico,并确认该漏洞已经完成了修复。   他们说:"不幸的是,他们在漏洞修复过程中没有与我们进行合作,但我们很高兴现在已经解决了问题。"
关键词:
相关推荐
本文地址: http://www.1mt.cn/478896
文章来源: admin
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 931614094@qq.com 举报,一经查实,本站将立刻删除。 未经允许不得转载:
分享到: 更多
PoS终端的安全问题使消费者容易受骗文档下载: PDF DOC TXT

Bitget下载

注册下载Bitget下载,邀请好友,即有机会赢取 3,000 USDT

APP下载   官网注册

猜你喜欢

BITGET交易所官网 | 理财、金融、保险、贷款、虚拟货币 等知识简单易懂一秒就通!

联系站长网站公告