示意圖,與新聞事件無關。

企業安全解決方案供應商Positive Technologies在上周舉行的黑帽(Black Hat)駭客大會上指出,行動收銀機(mobile point-of-sale,mPOS)裝置含有眾多漏洞,將允許不良商家竄改螢幕上所顯示的金額,或是讓駭客取得消費者的支付卡資訊。

mPOS可藉由智慧型手機、平板電腦或無線裝置來執行支付卡的收銀功能,它藉由藍牙連至裝置上的行動程式,再將資料傳送至支付供應商的伺服器上。根據電子交易協會(Electronic Transactions Association,ETA)的預測,到了2019年,全球的收銀終端將有接近半數採用mPOS。而Positive評估的是在美國與歐洲市場的熱門品牌,包括Square、SumUp、 iZettle與PayPal。

Positive表示,這4個品牌的mPOS裝置或多或少都存有安全漏洞,這些漏洞允許駭客執行中間人攻擊,透過藍牙或行動程式傳遞任意程式,或者是變更磁條交易的支付款項,也能遠端執行程式。

例如有些mPOS讀卡機在執行藍牙傳輸時沒有採用安全的配對機制,而讓鄰近的駭客得以入侵,進而執行中間人攻擊,像是允許不良商家變更消費者在螢幕上所看到的訊息,也許是看到交易失敗的假訊息,讓消費者用其它方式再付一次款項,或者是在螢幕上顯示與實際支付金額不符的數字。

還有兩個讀卡機含有任意程式攻擊漏洞,讓駭客得以存取裝置的檔案系統,在加密前攔截卡片資訊。

有鑑於基於磁條掃描的支付卡比晶片卡更容易外洩資料,因此Positive建議商家應避免採用磁卡交易,而是利用晶片+PIN碼、晶片+簽名或非接觸式支付選項。Positive已將研究結果提報給上述業者,在發表報告之際皆已修補。


Advertisement

更多 iThome相關內容