英國滲透測試公司MWR InfoSecurity的兩名安全研究人員表示，目前三個(gè)被廣泛部署的支付終端都存在允許攻擊者竊取信用卡數(shù)據(jù)和個(gè)人密碼的漏洞。

在周三開幕的2012年黑帽安全大會(huì)上，MWR研究主管，化名為“Nils”的德國籍安全研究人員和MWR安全顧問，西班牙籍安全研究人員Rafael Dominguez Vega展示了這些漏洞。

Nils和Vega將他們的研究重點(diǎn)放在了支付終端，即PoS終端的三個(gè)特定型號(hào)上。Nils稱，其中的兩個(gè)型號(hào)在英國被廣泛使用，但在它們也在美國被使用，而第三個(gè)型號(hào)則在美國被廣泛地部署。

研究人員拒絕透露詳細(xì)的設(shè)備型號(hào)或是設(shè)備的制造商，因?yàn)樗麄兿Ｍo予廠商充足的時(shí)間解決這些問題。為了防止在展示中泄漏這些信息，安全研究人員在展示中用貼紙覆蓋了設(shè)備的商標(biāo)和相關(guān)信息。

兩個(gè)在英國被廣泛使用的設(shè)備在支付應(yīng)用，即用于處于支付流程的特定程序上存在漏洞。

Nils稱，這些漏洞能夠讓攻擊者控制這些設(shè)備的多個(gè)組件，如顯示器、發(fā)票打印機(jī)、讀卡器或密碼輸入鍵盤，而通過特制的EMV卡即可以利用這些漏洞。

這些卡在它們的芯片上寫有惡意代碼。當(dāng)特制的EMV卡被插入終端的智能讀卡器中這些惡意代碼即可被執(zhí)行。

在展示期間，研究人員使用了這一方法在三個(gè)測試設(shè)備中的一個(gè)設(shè)備內(nèi)安裝了一款賽車游戲，并通過密碼輸入鍵盤和顯示器操控了所安裝的游戲。

在第二款設(shè)備中，研究人員使用了相同的方法安裝了一個(gè)專用記錄卡號(hào)和密碼的木馬程序。通過在支付終端中插入一張不同的流氓卡可以提取木馬所記錄的信息。

犯罪分子還能夠利用這些漏洞讓商店員工誤以為這些交易得到了銀行的授權(quán)，使得犯罪分子在沒有實(shí)際支付的情況拿走貨物，而事實(shí)上這些交易根本沒有得到銀行的授權(quán)。

Nils稱，在設(shè)備中安裝的惡意程序能夠阻斷攻擊者的銀行卡所發(fā)出的支付請(qǐng)求，但是卻可以打印出一張正規(guī)發(fā)票來誤導(dǎo)商家。