攻击Square移动读卡器,窃取你的信用卡数据

发表于:2015-08-05 08:00:00 来源: 黑客与极客 阅读数(0人)

攻击Square移动读卡器,窃取你的信用卡数据

 

在美国非常流行的Square移动读卡器可以很容易地变成“黑客工具”——它完全可以用来窃取你的信用卡数据。三位安全研究人员将在这两天举行的BlackHat黑客大会上展示他们的研究成果。


Square Reader是一个微型装置,它使得小型零售商可通过手机支持刷卡,而不用购买昂贵的PoS机系统。


小心“Square”记录你的信用卡数据


然而,除了它带来的便利之外,这个廉价易用的替代工具内存在着一个严重漏洞,它可能允许任何人轻易窃取你的信用卡信息。而攻击者所需要的只是一个螺丝刀、一瓶强力胶水,大约10分钟就能把最新款Square Reader变成一个便携式的微型信用卡侧录器。


波士顿大学的三位安全研究人员发现了一种物理篡改Square Reader的方法,并能够禁用其加密算法,这种加密算法通常用来保护传输到智能手机上的信用卡数据。篡改之后的设备看起来与Square Reader几乎一样,但是Square公司反击说这种篡改设备不能与官方的Square APP适配正常工作。


然而,研究人员声称适配APP并不重要,修改后的设备仍然可以用作普通的信用卡侧录器,并能够存储和记录用户的信用卡信息。攻击者甚至可以开发一个看起来合法的非官方应用程序,但是该应用内隐藏了录制代码。


信用卡回放攻击


除了上面提到的那种方法,研究人员还发现了另一个漏洞:该漏洞允许将信用卡数据直接记录到一个智能手机上(无需做任何Square Reader设备篡改行为)。恶意商家可以使用这种方法诈骗他们的顾客,即首先刷信用卡到他们的智能手机上,然后通过Square APP将这些信息回放以进行欺诈性交易。


安全研究人员Alexandrea Mellen告诉Motherboard:


 “我可以捕获到这个信号,并使用网上可得到的解码器转换这个信号,然后我就得到了你的信用卡信息。”

Square公司承认,使用这些研究人员描述的方法有可能回放刷卡记录,但该公司认为这不算漏洞。Square在漏洞平台HackerOne上发表的报告中写道:


“我们认为这不是一个安全风险,因为不可能多次处理一个存储刷卡过程。”

在这两天的拉斯维加斯BlackHat黑帽大会上,这三位安全研究人员John Moore、Alexandrea Mellen和Artem Losev将展示他们的研究成果《移动的骗局:攻击Square Reader》。


相关新闻

大家都在学

课程详情

漏洞扫描

课程详情

网络安全事件

课程详情

入侵检测与入侵防御