紧急!这款智能POS存重大安全隐患!
10月24日, GeekPwn2017国际安全极客大赛在上海召开,备受商业银行和支付机构青睐的联迪云POS A8产品在大赛中被爆存在重大安全漏洞,挑战选手仅用21分钟即攻破POS机并成功复制银行卡进行消费。
随着移动互联网和移动支付的发展,线下商业和线上商业逐渐融合构成闭环商业生态,由此倒逼商户对店铺管理进行升级。拥有聚合支付功能,又能承载店铺管理增值服务的智能POS机就成了商家收银的刚需。
这场攻破赛的挑战者是来自盘古团队的闻观行和赵振江两位小哥哥,他们要展示的是利用POS设备的漏洞,在POS机器中替换关键应用软件,然后获得所有在POS机上的刷卡信息,并复制银行卡进行消费。
但破解过程并非一帆风顺,在这组选手挑战过程中,现场环境受到了较多未知来源的蓝牙干扰。
时间仅剩下1:29秒时,终于找到了现场干扰源,主办方提供的胸卡自带蓝牙,因为有限空间内设备太多,导致干扰过大。于是选手改用有线连接方式进行数据传输。遗憾的是两位挑战者没有在限定的20分钟内完成挑战。
现场观众要求再给他们五分钟,最终在延时1分25秒后,挑战者顺利完成了挑战。
代理拉卡拉
此次攻破的设备云POS A8,是由福建联迪商用设备有限公司进行生产的,并于2016年正式推出的高端智能终端。
根据公开信息显示,智能POS终端APOS A8自2016年问市以来累计出货量已超过1,500,000台,跃居行业标杆。2017年,仅1-5月出货量就已突破1,000,000台。受到许多商业银行和大型支付机构的青睐。
扫码POS机
(联迪APOS A8 长这样)
值得一提的是,这款机型已经过银行卡检测中心机构检测通过,并获得中国银联入网许可。在10月23日银联公布的《银联闪付餐饮类智能POS改造机型名单》中,联迪A8也光荣入围。
终端安全一直是监管的重点,根据「银发【2017】21号」《中国人民银行关于强化银行卡受理终端安全管理的通知》的规定:自2017年6月1日起,应选用通过国家认证认可管理部门认可检测机构认证的受理终端。使用质量不合格、不符合标准的受理终端导致客户信息泄露或资金损失的,商业银行、支付机构应依法承担相应赔偿责任。
银联也多次对存在安全隐患的终端设备取消其认证资质。仅2016年就有20款产品被取消了认证,其中包含1款MPOS,3款个人支付终端以及16款传统POS终端。
2017年7月银联再次取消了XIN80、HZ-M20、G30、P8等四款mPOS终端认证证书,并向终端厂商发函进行通报。
话说回来,这种面向大众公开的大赛采用金融产品作为破解对象到底是否合适呢?会不会引起不必要的恐慌,让用户觉得只要使用了该产品,自己的银行卡和钱袋子就不安全了呢?毕竟不是每个人都拥有像黑客一样的破解能力,现实生活中,大部分的终端使用者还是遵纪守法的真实商户。
已经暴露在阳光下的风险并不可怕,针对该事件,拉卡拉已经发表声明,并全面停止对联迪公司该型号产品的采购,并承诺如果在正常使用中产生资金损失,拉卡拉将全额赔偿,确保用户资金安全。
相信其他采用该型号的银行和支付机构也会启动相应的安全预案,截至发稿前,联迪方面尚未针对此事进行回应,随着支付方式的更新变革,承载支付业务的终端也向智能化发展,希望各终端厂商要加强安全管理,提高设备安全性,随时做好应对新型支付风险的准备。
根据演示情况,交易的属于磁条卡,由于磁条信息有固定的格式,一名熟悉信用卡制作流程的技术人士,可以通过卡号、使用期限等,按照格式复制出磁条信息。在同一批卡中知道了其中一张卡的磁条信息,也能推算出其他同批次卡的基本资料。
另外,假设有人在POS机上装上一个盗卡装置,(或者类似上文中的黑客可以通过技术手段攻破终端)就能轻松获得客户的磁条信息,甚至有的网站专门出售磁条信息,通过读卡器将它扫到白卡上,再打上卡号,就克隆了一张银行卡就可以盗刷卡里面资金。
建议终端厂商和第三方支付运营商严格控制终端布防,加强交易风控,提高安全防范。
针对磁条卡,2016年6月13日,央行下发特急文件《中国人民银行关于进一步加强银行卡风险管理的通知》,通知规定:自2017年5月1日起,全面关闭芯片磁条复合卡的磁条交易。
磁条卡也是卡界的元老了,在完成它的历史使命后,终究会有退场的那一天。若你手中还有在用的磁条卡,带上身份证立即到柜台免费更换芯片卡。
你会喜欢
pos机怎么办理 POS机领取 移动POS机
如若转载,请注明出处:https://www.hhhrkala.com/53190.html