最近,安全研究实验室发现,德国及欧洲部分国家的支付系统中忽视了一些安全的基本原则和最佳范例,无法保证客户数据安全,易被攻击者利用进行金融诈骗。
安全研究实验室的专家称,德国的许多支付终端使用的是早已被证实存在漏洞的90年代旧版协议,并且在数据加密方面也存在问题。根据研究员介绍,因为这些国家的支付系统使用的是旧版的协议,漏洞既存在于收银台与PoS间,另一方面,在通过协议将数据从支付终端传输至支付处理中心/银行的过程中也存在漏洞。
内部漏洞
在本地,研究人员发现有很大比例的德国支付程序使用的是ZVT协议,该协议早已被公开容易受到简单嗅探攻击,攻击者可以截获信用卡数据。并且,PoS机读取信用卡的密码,以及在获取到交易授权后将响应信息传递回收银台的这段过程也是由ZVT协议负责的。
虽然上述的步骤是通过加密完成传输的,但是研究人员发现PoS生产商将加密密匙保存于PoS机中,并且在同一个支付点反复使用同样的密匙。这也就是说,如果攻击者可以入侵一台PoS终端机并且提出加密密匙,那么他就有能力读取商店本地LAN中的加密流量,包括银行卡卡号及密码。
外部漏洞
遗憾的是,在PoS终端机与支付处理中心/银行之间的通信也同样存在问题。在交换双方数据时使用的协议是ISO 8583(金融交易卡原始电文-交换电文规范)的一个变种,在德国与其他国家被称为 Poseidon,但这个变种中存在一个认证缺陷。与之前的内部漏洞相似,PoS制造商也是用加密密匙对与外部交换的信息加密。这个key也会是存在PoS设备中并且极少变更。所以,在同一个商店中使用同一个PoS机,同样的密匙也是被反复使用的。
安全研究实验室的专家谈起使用Poseidon加密密匙在多个支付系统的危害时说道:“攻击者可以获取退款,或者打印多张手机充值卡,所花的费用都由商家来支付。”安全实验室的研究人员决定在12月27日在汉堡举行的第32届混沌通信大会(32C3)中进行具体的展示。
德国的支付系统主要使用ZVT与Poseidon支付协议,这两个协议因为同样的原因存在风险:他们都在许多设备中共享密匙。所以对于每一个终端来说部署单独的密匙至关重要,这也可以使该支付系统更具有抵抗欺诈的能力。
安全研究实验室的专家称,德国的许多支付终端使用的是早已被证实存在漏洞的90年代旧版协议,并且在数据加密方面也存在问题。根据研究员介绍,因为这些国家的支付系统使用的是旧版的协议,漏洞既存在于收银台与PoS间,另一方面,在通过协议将数据从支付终端传输至支付处理中心/银行的过程中也存在漏洞。
内部漏洞
在本地,研究人员发现有很大比例的德国支付程序使用的是ZVT协议,该协议早已被公开容易受到简单嗅探攻击,攻击者可以截获信用卡数据。并且,PoS机读取信用卡的密码,以及在获取到交易授权后将响应信息传递回收银台的这段过程也是由ZVT协议负责的。
虽然上述的步骤是通过加密完成传输的,但是研究人员发现PoS生产商将加密密匙保存于PoS机中,并且在同一个支付点反复使用同样的密匙。这也就是说,如果攻击者可以入侵一台PoS终端机并且提出加密密匙,那么他就有能力读取商店本地LAN中的加密流量,包括银行卡卡号及密码。
外部漏洞
遗憾的是,在PoS终端机与支付处理中心/银行之间的通信也同样存在问题。在交换双方数据时使用的协议是ISO 8583(金融交易卡原始电文-交换电文规范)的一个变种,在德国与其他国家被称为 Poseidon,但这个变种中存在一个认证缺陷。与之前的内部漏洞相似,PoS制造商也是用加密密匙对与外部交换的信息加密。这个key也会是存在PoS设备中并且极少变更。所以,在同一个商店中使用同一个PoS机,同样的密匙也是被反复使用的。
安全研究实验室的专家谈起使用Poseidon加密密匙在多个支付系统的危害时说道:“攻击者可以获取退款,或者打印多张手机充值卡,所花的费用都由商家来支付。”安全实验室的研究人员决定在12月27日在汉堡举行的第32届混沌通信大会(32C3)中进行具体的展示。
德国的支付系统主要使用ZVT与Poseidon支付协议,这两个协议因为同样的原因存在风险:他们都在许多设备中共享密匙。所以对于每一个终端来说部署单独的密匙至关重要,这也可以使该支付系统更具有抵抗欺诈的能力。
还没有评论,来说两句吧...