PoS终端的安全问题让消费者容易受骗
发布时间:2022-09-02 11:55:42 所属栏目:安全 来源:互联网
导读:研究人员详细介绍了销售点(PoS)终端中普遍存在的安全问题,特别是厂商Verifone和Ingenico生产的三个系列的终端设备中普遍存在这些问题。 研究人员公布了这些PoS终端的两个安全问题。主要问题是它们在出厂时使用制造商默认的密码,但是这些密码可以使用谷歌搜
|
研究人员详细介绍了销售点(PoS)终端中普遍存在的安全问题,特别是厂商Verifone和Ingenico生产的三个系列的终端设备中普遍存在这些问题。 研究人员公布了这些PoS终端的两个安全问题。主要问题是它们在出厂时使用制造商默认的密码,但是这些密码可以使用谷歌搜索引擎来轻易地被找到。 研究人员说:"这些凭证可以对特殊的'服务模式'进行访问,这种情况下,其中的硬件配置和其他功能都是可用的,有一家叫Ingenico的制造商,会阻止你更改这些默认的密码。" 仔细分析这些特殊的 "服务模式",研究人员在拆下终端并提取出其中的固件后发现,它们包含了某些"未经公开的功能"。 研究人员说:"在Ingenico和Verifone的终端中,一些函数通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)从而实现了任意代码执行的攻击操作,20多年以来,这些'服务的超级模式'一直允许未授权访问。通常情况下,这些功能只存在于古老废弃的代码中,但这些代码现在却仍然被部署在了新的终端中。" 攻击者可以利用这些漏洞发起一系列的攻击。例如,任意代码执行攻击可以让攻击者在PoS终端与其网络之间发送和修改传输的数据。攻击者还可以读取数据,允许他们复制人们的信用卡信息,并进行信用卡诈骗。 他们说:"攻击者可以伪造和更改账户的交易,他们可以通过利用服务器端的漏洞,例如终端管理系统(TMS)中的漏洞,来攻击银行。但是这将使PoS终端与其处理器之间原有信任关系失效。" (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号