PoS終端的安全問題使消費(fèi)者容易受騙

王英哲

研究人員詳細(xì)介紹了銷售點(diǎn)（PoS）終端中普遍存在的安全問題，這些問題已經(jīng)向廠商進(jìn)行了匯報(bào)，并且已經(jīng)打上了補(bǔ)丁，該漏洞會(huì)使全球零售商使用的幾款流行的PoS終端面臨各種網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。受影響的設(shè)備包括Verifone VX520、Verifone MX系列和Ingenico Telium 2系列。這些設(shè)備已經(jīng)被零售商廣泛使用。例如，VeriFone VX520終端已經(jīng)售出了超過700萬臺(tái)。

網(wǎng)絡(luò)研發(fā)實(shí)驗(yàn)室團(tuán)隊(duì)的研究人員在近期對(duì)這些漏洞的分析中說：“通過使用默認(rèn)密碼，我們能夠通過利用二進(jìn)制漏洞（如堆棧溢出和緩沖區(qū)溢出）來執(zhí)行任意代碼，這些PoS終端的漏洞使攻擊者能夠進(jìn)行任意數(shù)據(jù)包的發(fā)送、克隆卡和克隆終端，并且能夠安裝持久性的惡意軟件。”

值得注意的是，受影響的設(shè)備是PoS終端，而不是PoS系統(tǒng)。PoS終端是讀取支付卡（如信用卡或借記卡）的設(shè)備。PoS系統(tǒng)包括收銀員與終端的交互，以及商家的庫存和會(huì)計(jì)記錄。

研究人員公布了這些PoS終端的2個(gè)安全問題，主要問題是他們?cè)诔鰪S時(shí)使用制造商默認(rèn)的密碼，但是這些密碼可以使用谷歌搜索引擎輕易找到。

研究人員說：“這些憑證可以對(duì)特殊的‘服務(wù)模式進(jìn)行訪問，這種情況下，其中的硬件配置和其他功能都是可用的，一家叫Ingenico的制造商，會(huì)阻止你更改這些默認(rèn)的密碼。”

仔細(xì)分析這些特殊的“服務(wù)模式”，研究人員在拆下終端并提取出其中的固件后發(fā)現(xiàn)，他們包含了某些“未經(jīng)公開的功能”。研究人員說：“在Ingenico和Verifone的終端中，一些函數(shù)通過利用二進(jìn)制漏洞（如堆棧溢出和緩沖區(qū)溢出）從而實(shí)現(xiàn)了任意代碼執(zhí)行的攻擊操作，20多年以來，這些‘服務(wù)的超級(jí)模式一直允許未授權(quán)訪問。通常情況下，這些功能只存在于古老廢棄的代碼中，但這些代碼現(xiàn)在卻仍然被部署在新的終端中。”

攻擊者可以利用這些漏洞發(fā)起一系列的攻擊。例如，任意代碼執(zhí)行攻擊，可以讓攻擊者在PoS終端與其網(wǎng)絡(luò)之間發(fā)送和修改傳輸?shù)臄?shù)據(jù)。攻擊者還可以讀取數(shù)據(jù)，允許他們復(fù)制信用卡信息，并進(jìn)行信用卡詐騙。

他們說：“攻擊者可以偽造和更改賬戶的交易，他們可以通過利用服務(wù)器端的漏洞，例如終端管理系統(tǒng)（TMS）中的漏洞，來攻擊銀行。但是這將使PoS終端與其處理器之間原有信任關(guān)系失效。”

研究人員聯(lián)系了Verifone和Ingenico，此后針對(duì)這些問題發(fā)布了補(bǔ)丁。

Verifone在2019年底被告知存在此問題，研究人員后來證實(shí)，漏洞在2020年晚些時(shí)候已經(jīng)被修復(fù)了。研究人員說：“在2020年11月，PCI已經(jīng)在全球范圍內(nèi)發(fā)布了Verifone終端緊急更新的消息。”

同時(shí)，研究人員表示，他們花了近2年的時(shí)間才聯(lián)系到Ingenico，并確認(rèn)該漏洞已經(jīng)完成了修復(fù)。他們說：“不幸的是，他們?cè)诼┒葱迯?fù)過程中沒有與我們進(jìn)行合作，但我們很高興現(xiàn)在已經(jīng)解決了問題。”