在農(nóng)貿(mào)市場、蛋糕店和冰沙店支付時使用小型便攜式信用卡讀卡器，對消費者和商家來說都很方便。目前，該領(lǐng)域的設備主要由四家公司所提供——Suqare、SumUp、iZettle和PayPal。但是當交易越來越多時，這些設備身上的安全漏洞也逐漸顯現(xiàn)。

　　來自安全公司Positive Technologies的Leigh-Anne Galloway和Tim Yunusov總共研究了七款移動銷售點設備。他們發(fā)現(xiàn)的這些設備并不如宣傳的那么完美：其中存在的漏洞，能夠被他們使用藍牙或移動應用來操作命令，修改磁條刷卡交易中的支付金額，甚至獲得銷售點設備的完全遙控。

　　“我們面臨的一個非常簡單的問題是，一個成本不到50美元的設備到底擁有多少安全性?”Galloway說?！翱紤]到這一點，我們從兩個供應商和兩款讀卡器開始研究，但是它很快發(fā)展成為一個更大的項目?！?/p>

　　所有四家制造商都在解決這個問題，當然，并非所有型號都容易受到這些漏洞的影響。以Square和PayPal為例，漏洞是在一家名為Miura的公司制造的第三方硬件中發(fā)現(xiàn)的。研究人員于本周四在黑帽安全會議上公布了他們的發(fā)現(xiàn)。

　　研究人員發(fā)現(xiàn)，他們可以利用藍牙和移動應用連接到設備的漏洞來攔截交易或修改命令。這些漏洞可能允許攻擊者禁用基于芯片的交易，迫使顧客使用不太安全的磁條刷卡，使得更容易竊取數(shù)據(jù)和克隆客戶卡。

　　此外，流氓商家可以讓mPOS設備看起來是被拒絕交易一樣，從而讓用戶重復多次刷卡，或者將磁條交易的總額更改為5萬美元的上線。通過攔截流量并秘密修改付款的數(shù)值，攻擊者可能會讓客戶批準一項看起來正常的交易，但這項交易的金額會高得多。在這些類型的欺詐中，客戶依靠他們的銀行和信用卡發(fā)行商來保障他們的損失，但是磁條卡是一個過時的協(xié)議，繼續(xù)使用它的企業(yè)現(xiàn)在需要承擔責任。

　　研究人員還報告了固件驗證和降級方面的問題，這些問題可能允許攻擊者安裝舊的或受污染的固件版本，進一步暴露器件。

　　研究人員發(fā)現(xiàn)，在Miura M010讀卡器中，他們可以利用連接漏洞在讀卡器中獲得完整的遠程代碼執(zhí)行和文件系統(tǒng)訪問權(quán)。Galloway指出，第三方攻擊者可能特別希望使用此控件將PIN碼的模式從加密更改為明文，即“命令模式”，從而用于觀察和收集客戶PIN碼。

　　研究人員評估了美國和歐洲地區(qū)使用的賬戶和設備，因為它們在每個地方的配置有所不同。雖然研究人員測試的所有終端都包含一些漏洞，但最糟糕的只限于其中幾個而已。

　　“Miura M010讀卡器是第三方信用卡芯片讀卡器，我們最初提供它作為權(quán)宜之計，現(xiàn)在只有幾百個Square賣家使用。當我們察覺到存在一個影響Miura讀卡器的漏洞時，我們加快了現(xiàn)有計劃，放棄了對M010讀卡器的支持，”一位Square發(fā)言人表示。“今天，在Square生態(tài)系統(tǒng)中不再可能使用Miura讀卡器了?！?/p>

　　“SumUp可以證實，從未有人試圖通過其終端使用本報告概述的基于磁條的方法進行欺詐，”一位SumUp發(fā)言人表示?！氨M管如此，研究人員一聯(lián)系我們，我們的團隊就成功地排除了將來出現(xiàn)這種欺詐企圖的可能性。”

　　“我們認識到研究人員和我們的用戶社區(qū)在幫助保持PayPal安全方面發(fā)揮的重要作用，”一位發(fā)言人在一份聲明中表示。“PayPal的系統(tǒng)沒有受到影響，我們的團隊已經(jīng)解決了這些問題。”

　　iZettle沒有回復評論請求，但是研究人員表示，該公司也在修復這些漏洞。

　　Galloway和Yunusov對供應商的積極回應感到滿意。然而，他們希望，他們的發(fā)現(xiàn)將提高人們對將安全性作為低成本嵌入式設備發(fā)展優(yōu)先事項這一更廣泛問題的認識。

　　“我們在這個市場基礎(chǔ)上看到的問題可以更廣泛地應用于物聯(lián)網(wǎng)，”Galloway說。“像讀卡器這樣的東西，作為消費者或企業(yè)所有者，你會對某種程度的安全性有所期待。但是其中許多公司存在的時間并沒有那么長，產(chǎn)品本身也不太成熟。安全性不一定會嵌入到開發(fā)過程中?！?/p>