黑帽大會展示多款銀行支付終端漏洞

英國滲透測試公司MWR InfoSecurity的兩名安全研究人員表示，目前三個被廣泛部署的支付終端都存在允許攻擊者竊取信用卡數(shù)據(jù)和個人密碼的漏洞。

在周三開幕的2012年黑帽安全大會上，MWR研究主管，化名為“Nils”的德國籍安全研究人員和MWR安全顧問，西班牙籍安全研究人員Rafael Dominguez Vega展示了這些漏洞。

Nils和Vega將他們的研究重點放在了支付終端，即PoS終端的三個特定型號上。Nils稱，其中的兩個型號在英國被廣泛使用，但在它們也在美國被使用，而第三個型號則在美國被廣泛地部署。

研究人員拒絕透露詳細的設備型號或是設備的制造商，因為他們希望給予廠商充足的時間解決這些問題。為了防止在展示中泄漏這些信息，安全研究人員在展示中用貼紙覆蓋了設備的商標和相關信息。

兩個在英國被廣泛使用的設備在支付應用，即用于處于支付流程的特定程序上存在漏洞。

Nils稱，這些漏洞能夠讓攻擊者控制這些設備的多個組件，如顯示器、發(fā)票打印機、讀卡器或密碼輸入鍵盤，而通過特制的EMV卡即可以利用這些漏洞。

這些卡在它們的芯片上寫有惡意代碼。當特制的EMV卡被插入終端的智能讀卡器中這些惡意代碼即可被執(zhí)行。

在展示期間，研究人員使用了這一方法在三個測試設備中的一個設備內(nèi)安裝了一款賽車游戲，并通過密碼輸入鍵盤和顯示器操控了所安裝的游戲。

在第二款設備中，研究人員使用了相同的方法安裝了一個專用記錄卡號和密碼的木馬程序。通過在支付終端中插入一張不同的流氓卡可以提取木馬所記錄的信息。

犯罪分子還能夠利用這些漏洞讓商店員工誤以為這些交易得到了銀行的授權(quán)，使得犯罪分子在沒有實際支付的情況拿走貨物，而事實上這些交易根本沒有得到銀行的授權(quán)。

Nils稱，在設備中安裝的惡意程序能夠阻斷攻擊者的銀行卡所發(fā)出的支付請求，但是卻可以打印出一張正規(guī)發(fā)票來誤導商家。

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]