本月热词:

栏目分类
热门电脑安全文章推荐

广告赞助商

主页 > 电脑安全 > INTRODUCE

黑帽大会:三大支付终端均存在漏洞

2012-08-22 14:40 作者:admin 来源:网界网 浏览: 我要评论 (条) 字号:

摘要:英国渗透测试公司MWR InfoSecurity的两名安全研究人员表示,目前三个被广泛部署的支付终端都存在允许攻击者窃取信用卡数据和个人密码的漏洞。 在周三开幕的2012年黑帽安全大会上,MWR研究主管,化名为Nils的德国籍安全研究人员和MWR安全顾问,西班牙籍安全研

英国渗透测试公司MWR InfoSecurity的两名安全研究人员表示,目前三个被广泛部署的支付终端都存在允许攻击者窃取信用卡数据和个人密码的漏洞。

  在周三开幕的2012年黑帽安全大会上,MWR研究主管,化名为“Nils”的德国籍安全研究人员和MWR安全顾问,西班牙籍安全研究人员Rafael Dominguez Vega展示了这些漏洞。

  Nils和Vega将他们的研究重点放在了支付终端,即PoS终端的三个特定型号上。Nils称,其中的两个型号在英国被广泛使用,但在它们也在美国被使用,而第三个型号则在美国被广泛地部署。

  研究人员拒绝透露详细的设备型号或是设备的制造商,因为他们希望给予厂商充足的时间解决这些问题。为了防止在展示中泄漏这些信息,安全研究人员在展示中用贴纸覆盖了设备的商标和相关信息。

  两个在英国被广泛使用的设备在支付应用,即用于处于支付流程的特定程序上存在漏洞。

  Nils称,这些漏洞能够让攻击者控制这些设备的多个组件,如显示器、发票打印机、读卡器或密码输入键盘,而通过特制的EMV卡即可以利用这些漏洞。

  这些卡在它们的芯片上写有恶意代码。当特制的EMV卡被插入终端的智能读卡器中这些恶意代码即可被执行。

  在展示期间,研究人员使用了这一方法在三个测试设备中的一个设备内安装了一款赛车游戏,并通过密码输入键盘和显示器操控了所安装的游戏。

  在第二款设备中,研究人员使用了相同的方法安装了一个专用记录卡号和密码的木马程序。通过在支付终端中插入一张不同的流氓卡可以提取木马所记录的信息。

  犯罪分子还能够利用这些漏洞让商店员工误以为这些交易得到了银行的授权,使得犯罪分子在没有实际支付的情况拿走货物,而事实上这些交易根本没有得到银行的授权。

  Nils称,在设备中安装的恶意程序能够阻断攻击者的银行卡所发出的支付请求,但是却可以打印出一张正规发票来误导商家。

(责任编辑:admin) 黑帽大会:三大支付终端均存在漏洞
顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
特别说明

转载教程《黑帽大会:三大支付终端均存在漏洞》请注明出处:我爱电脑网 www.5idiannao.com 谢谢!

◎ 广告赞助

◎最新评论
      谈谈您对该文章的看
      表  情:
      评论内容:
      点击我更换图片
      * 请注意用语文明且合法,谢谢合作 审核后才会显示! Ctrl+回车 可以直接发表

      ◎ 阅读说明READ EXPLANATION

      ☉推荐使用第三方专业下载工具下载本站软件,使用 WinRAR v3.10 以上版本解压本站软件。
      ☉如果这个软件总是不能下载的请点击报告错误,谢谢合作!!
      ☉下载本站资源,如果服务器暂不能下载请过一段时间重试!
      ☉如果遇到什么问题,请到本站论坛去咨寻,我们将在那里提供更多 、更好的资源!
      ☉本站提供的一些商业软件是供学习研究之用,如用于商业用途,请购买正版。