科学研究工作人员介绍了零售点(PoS)终端中存在的安全隐患,尤其是厂商Verifone和Ingenico生产制造的三个系列产品的终端机器设备中普遍现象这种问题。
这些问题早已向厂商开展了报告,而且早已打上补丁包,该漏洞会使全世界零售商应用的几种时髦的PoS终端遭遇各种各样黑客攻击的风险性。受影响的设施包含Verifone VX520、Verifone MX系列产品和Ingenico Telium 2系列。这种机器设备早已被零售商开展普遍的应用。例如,VeriFone VX520终端早已卖出了超出700万部。
互联网产品研发试验室精英团队的分析员工在这周对这种漏洞的剖析中说:"根据应用默认设置登陆密码,大家可以根据运用二进制漏洞(如堆栈溢出和跨站脚本攻击)来实行任何编码,这种PoS终端的漏洞使网络攻击可以开展随意数据的推送、复制卡、克隆终端,而且可以安裝持续性的恶意程序。"
特别注意的是,受影响的设施是PoS终端,而不是PoS系统软件。PoS终端是载入借记卡(如银行卡或储蓄卡)的机器设备。PoS系统软件包含店员与终端的互动,及其店家的存货和财务会计纪录。
科学研究者发布了这种PoS终端的2个安全隐患。关键问题是他们在出产时应用生产商默认设置的登陆密码,可是这种登陆密码可以应用Google搜索引擎来随便的被寻找。
科学研究工作人员说:"这种凭据可以对特别的'服务项目方式'开展浏览,这样的事情下,在其中的系统配置和其它作用全是可以用的,有一家叫Ingenico的生产商,会阻拦你变更这种默认设置的登陆密码。"
具体分析这种独特的 "服务项目方式",科学研究员工在拆下来终端并提炼出这其中的固定件后发觉,他们涵盖了一些"没经公布的作用"。
科学研究工作人员说:"在Ingenico和Verifone的终端中,一些函数公式根据运用二进制漏洞(如堆栈溢出和跨站脚本攻击)进而达到了随意执行命令的进攻实际操作,20很多年至今,这种'服务项目的非常方式'一直容许未认证浏览。一般来说,这种功用只出现于历史悠久废旧的编码中,但这种编码如今却依然被构建在了新的终端中。"
网络攻击可以运用这种漏洞进行一系列的进攻。例如,随意执行命令进攻可以让网络攻击在PoS终端与其说互联网中间上传和改动传送的数据信息。网络攻击还能够接收数据,容许她们拷贝大家的银行信用卡信息内容,并开展信用卡诈骗罪。
她们说:"网络攻击可以仿冒和变更帐户的买卖,她们可以利用运用服务端的漏洞,例如终端智能管理系统(TMS)中的漏洞,来进攻金融机构。可是这将使PoS终端与其说CPU中间原来信赖关联无效。"
科学研究工作人员沟通了Verifone和Ingenico,与此同时此后对于这种问题公布了补丁包。
Verifone在2019年底被告之存有此问题,科学研究工作人员之后确认,漏洞在2020年晚些时候早已被修补了。科学研究工作人员说:"在2020年11月,PCI早已在全世界范畴内公布了Verifone终端紧急更新的信息。"
与此同时,科学研究工作员表明,她们花了近些年的时间段才联络到Ingenico,并确定该漏洞早已完成了修补。
她们说:"遗憾的是,她们在漏洞修复中并没有与大家实现协作,但大家很高兴如今早已解决了问题。"
文中翻譯自:https://threatpost.com/security-issues-pos-terminals-fraud/162210/