PoS终端的安全问题使消费者容易受骗

研究人员详细介绍了销售点(PoS)终端中普遍存在的安全问题，特别是厂商Verifone和Ingenico生产的三个系列的终端设备中普遍存在这些问题。

这些问题已经向厂商进行了汇报，并且已经打上了补丁，该漏洞会使全球零售商使用的几款流行的PoS终端面临各种网络攻击的风险。受影响的设备包括Verifone VX520、Verifone MX系列和Ingenico Telium 2系列。这些设备已经被零售商进行广泛的使用。例如，VeriFone VX520终端已经售出了超过700万台。

网络研发实验室团队的研究人员在本周对这些漏洞的分析中说:"通过使用默认密码，我们能够通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)来执行任意代码，这些PoS终端的漏洞使攻击者能够进行任意数据包的发送、克隆卡、克隆终端，并且能够安装持久性的恶意软件。"

值得注意的是，受影响的设备是PoS终端，而不是PoS系统。PoS终端是读取支付卡（如信用卡或借记卡）的设备。PoS系统包括收银员与终端的交互，以及商家的库存和会计记录。

研究人员公布了这些PoS终端的两个安全问题。主要问题是它们在出厂时使用制造商默认的密码，但是这些密码可以使用谷歌搜索引擎来轻易地被找到。

研究人员说："这些凭证可以对特殊的'服务模式'进行访问，这种情况下，其中的硬件配置和其他功能都是可用的，有一家叫Ingenico的制造商，会阻止你更改这些默认的密码。"

仔细分析这些特殊的 "服务模式"，研究人员在拆下终端并提取出其中的固件后发现，它们包含了某些"未经公开的功能"。

研究人员说:"在Ingenico和Verifone的终端中，一些函数通过利用二进制漏洞（如堆栈溢出和缓冲区溢出）从而实现了任意代码执行的攻击操作，20多年以来，这些'服务的超级模式'一直允许未授权访问。通常情况下，这些功能只存在于古老废弃的代码中，但这些代码现在却仍然被部署在了新的终端中。"

攻击者可以利用这些漏洞发起一系列的攻击。例如，任意代码执行攻击可以让攻击者在PoS终端与其网络之间发送和修改传输的数据。攻击者还可以读取数据，允许他们复制人们的信用卡信息，并进行信用卡诈骗。

他们说："攻击者可以伪造和更改账户的交易，他们可以通过利用服务器端的漏洞，例如终端管理系统（TMS）中的漏洞，来攻击银行。但是这将使PoS终端与其处理器之间原有信任关系失效。"

研究人员联系了Verifone和Ingenico，同时此后针对这些问题发布了补丁。

Verifone在2019年底被告知存在此问题，研究人员后来证实，漏洞在2020年晚些时候已经被修复了。研究人员说:"在2020年11月，PCI已经在全球范围内发布了Verifone终端紧急更新的消息。"

同时，研究人员表示，他们花了近两年的时间才联系到Ingenico，并确认该漏洞已经完成了修复。

他们说:"不幸的是，他们在漏洞修复过程中没有与我们进行合作，但我们很高兴现在已经解决了问题。"