英国渗透测试公司MWR InfoSecurity的两名安全研究人员表示,目前三个被广泛部署的支付终端都存在允许攻击者窃取信用卡数据和个人密码的漏洞。
在周三开幕的2012年黑帽安全大会上,MWR研究主管,化名为“Nils”的德国籍安全研究人员和MWR安全顾问,西班牙籍安全研究人员Rafael Dominguez Vega展示了这些漏洞。
Nils和Vega将他们的研究重点放在了支付终端,即PoS终端的三个特定型号上。Nils称,其中的两个型号在英国被广泛使用,但在它们也在美国被使用,而第三个型号则在美国被广泛地部署。
研究人员拒绝透露详细的设备型号或是设备的制造商,因为他们希望给予厂商充足的时间解决这些问题。为了防止在展示中泄漏这些信息,安全研究人员在展示中用贴纸覆盖了设备的商标和相关信息。
两个在英国被广泛使用的设备在支付应用,即用于处于支付流程的特定程序上存在漏洞。
Nils称,这些漏洞能够让攻击者控制这些设备的多个组件,如显示器、发票打印机、读卡器或密码输入键盘,而通过特制的EMV卡即可以利用这些漏洞。
这些卡在它们的芯片上写有恶意代码。当特制的EMV卡被插入终端的智能读卡器中这些恶意代码即可被执行。
在展示期间,研究人员使用了这一方法在三个测试设备中的一个设备内安装了一款赛车游戏,并通过密码输入键盘和显示器操控了所安装的游戏。
在第二款设备中,研究人员使用了相同的方法安装了一个专用记录卡号和密码的木马程序。通过在支付终端中插入一张不同的流氓卡可以提取木马所记录的信息。
犯罪分子还能够利用这些漏洞让商店员工误以为这些交易得到了银行的授权,使得犯罪分子在没有实际支付的情况拿走货物,而事实上这些交易根本没有得到银行的授权。
Nils称,在设备中安装的恶意程序能够阻断攻击者的银行卡所发出的支付请求,但是却可以打印出一张正规发票来误导商家。
