原标题:【Black Hat 18】:小心mPOS读卡机内含安全漏洞,窜改消费金额让你荷包大失血
示意图,与新闻事件无关。
企业安全解决方案供应商Positive△Technologies在上周举行的黑帽(Black△Hat)骇客大会上指出,行动收银机(mobile△point-of-sale,mPOS)装置含有众多漏洞,将允许不良商家窜改荧幕上所显示的金额,或是让骇客取得消费者的支付卡资讯。
mPOS可借由智能手机、平板电脑或无线装置来执行支付卡的收银功能,它借由蓝牙连至装置上的行动程式,再将资料传送至支付供应商的伺服器上。根据电子交易协会(Electronic△Transactions△Association,ETA)的预测,到了2019年,全球的收银终端将有接近半数采用mPOS。而Positive评估的是在美国与欧洲市场的热门品牌,包括Square、SumUp、 iZettle与PayPal。
Positive表示,这4个品牌的mPOS装置或多或少都存有安全漏洞,这些漏洞允许骇客执行中间人攻击,通过蓝牙或行动程式传递任意程式,或者是变更磁条交易的支付款项,也能远端执行程式。
例如有些mPOS读卡机在执行蓝牙传输时没有采用安全的配对机制,而让邻近的骇客得以入侵,进而执行中间人攻击,像是允许不良商家变更消费者在荧幕上所看到的讯息,也许是看到交易失败的假讯息,让消费者用其它方式再付一次款项,或者是在荧幕上显示与实际支付金额不符的数字。
还有两个读卡机含有任意程式攻击漏洞,让骇客得以存取装置的档案系统,在加密前拦截卡片资讯。
有鉴于基于磁条扫描的支付卡比晶片卡更容易外泄资料,因此Positive建议商家应避免采用磁卡交易,而是利用晶片+PIN码、晶片+签名或非接触式支付选项。Positive已将研究结果提报给上述业者,在发表报告之际皆已修补。
相关:
研究指四间 Android 手机厂商韧体存在安全漏洞 | 香港 UNWIRE.HK 玩生活.乐科技
手机系统随着安装的应用程序变多,安全漏洞也可能会增加,不过如果是系统本身存在漏洞,则是更严重的问题。最近一个研究机构表示,有几个 Android 手机厂商的韧体存在漏洞,有机会被骇客利用攻击。保安研究机构 Kryp
图片来源: IBM 随着全球各大城市皆已悄悄地展开智慧城市(Smart△City)部署,IBM△X-Force△Red团队与资安业者Threatca携手检视智慧城市所使用的主要系统,发现了17个安全漏洞,将允许骇客操纵警报系统、窜改感应器
假新闻充斥惹议,WhatsApp再被爆含有可窜改通讯内容的安全漏洞
图片来源: Check△Point 就在WhatsApp因假新闻事件被印度政府盯上的时候,以色列资安业者Check△Point在本周踢爆WhatsApp含有可窜改通讯内容的安全漏洞。WhatsApp为一跨平台且强调端对端加密的免费通讯程式,在2014年
步数都可以做假!“伪造步数机”让你躺在床上跑马拉松 | 香港 UNWIRE.HK 玩生活.乐科技
智能电话、手表上的“步数计”原意是让用户计算平时的运动状况,从而计出你的运动量。此资料原本给自己做参考,但有人却会希望在社交平台炫耀自己的运动量。“步数做假机”因此应运而生,据报每月更卖出 25,000 部,
资安一周第2期:下载知名开源软件 ,小心误闯山寨官网。变种Spectre漏洞攻击可从远端窃取机器资料
研究人员Ivan△Kwiatkowski发现骇客借由仿造知名软件官网,诱导使用者下载以散布广告程式,骇客相中的知名软件包括Keepass、7-Zip、Clonezilla及Greenshot等等 0725~0731一定要看的资安新闻??山寨官网?下载Keepas