在线客服
热线电话
  • 15002778922
  •  18571508722

24小时客户服务热线

18571508722

    被攻破的POS版本未过检!是支付机构知假买假还是联迪私自改版?

    分享到:
    点击次数:990 更新时间:2020年05月04日14:37:00 打印此页 关闭

    银行卡检测中心昨日发出声明,GeekPwn2017极客大赛上被攻破的智能pos机虽然属于过检机型,但但固件版本不一致,实际布放的该型号终端应用验证方式由本地数字签名验证改为了远程服务器验证,且报文防篡改机制不健全,存在较为严重的安全漏洞,未按照银联卡受理终端设备安全认证规则备案并提交差异化测评。

      近日,在GeekPwn2017极客大赛上,来自盘古实验室的选手对市面上的某型号智能POS终端进行了现场攻击演示。演示人员突破应用验证机制在终端上安装了木马程序,基于终端操作系统漏洞获取了系统高级权限,从而获得银行卡的交易PIN和磁道数据,并实施磁条卡伪卡复制。

      银行卡检测中心称,事件发生后,银行卡检测中心立即组织专业技术人员对实际布放的该型号终端与检测留样终端(2016年通过中心检测)进行对比分析,结果显示两款终端虽然型号相同,但固件版本不一致。

      通过此事件,银行卡检测中心呼吁产业各方进一步加强支付受理终端安全管理,确保布放终端与合格样品的一致性。

      当时破解事件一出,联迪、盘古实验室、拉卡拉等涉事单位纷纷发出声明(附后),把各家声明联系起来看就可以得到事情的大致轮廓。

      支付机构从联迪采购了A8,且已经在市场上大量布放,毕竟他是过检机型,殊不知联迪提供给支付机构的机型与送检机型并非完全一致,于是被盘古实验室攻破。

      那么问题就来了:是支付机构知假买假吗?特意采购与过检机型不一致的版本?还是联迪私自更改了固件向支付机构出售?为何不直接销售过检版本呢?改完之后的版本成本更低?

      欢迎各位读者跟帖讨论

      中国银联官方正式回应

      10月24日上海举办的2017安全极客大赛上,挑战者攻破某品牌POS机并复制磁条银行卡。此情况系特殊环境下的攻击演示,与正常刷卡条件不同,不具备可比性。真实终端在收单机构和商户的严格管理下,不会轻易被攻击破解,风险可控。

      且该攻击仅能够获取银行卡磁条信息,不能复制芯片卡信息。根据人民银行要求,2015年起已全面换发芯片卡,目前复合卡的磁条交易已全部关闭,使用芯片卡进行挥卡、插卡操作不会发生此类问题。建议尚未使用芯片卡的持卡人更换芯片卡保障自身交易安全,也建议收单机构和商户加强终端管理,防止POS终端被非法利用。

      了解到相关情况后,银联第一时间对智能POS进行了全面检查,特别是对于新闻中提到的该款智能POS进行了全面检测,并要求相关厂商立即自查,确定原因尽快升级加固方案。中国银联同时提醒,请相关厂商严格按照银联技术规范要求生产相关设备。智能POS作为近两年最新面世的终端形态,采用开放式的智能操作系统(主要是开源的安卓系统),建议相关厂商及时安装安卓操作系统发布的安全补丁,避免已知安全漏洞的影响

      声 明

      10月24日,盘古实验室在2017安全极客大赛上进行了联迪A8智能终端产品的模拟攻击演示,我司就此声明如下:

      一、此情况系特殊环境下的攻击演示,与正常刷卡条件不同,不具备可比性。真实终端在收单机构和商户的严格管理下,不会轻易被攻击破解,风险可控。

      二、经与盘古实验室沟通,确认如下事实:

      1. 盘古实验室利用未公开的终端操作系统漏洞对POS设备进行模拟攻击演示。

      2. 此次受攻击的我司产品固件为早期版本,我司现有固件版本的防护机制可以有效防护针对该漏洞的攻击。

      三、我司已经发布补丁包给各收单机构等用户,各用户已着手对存量A8智能POS进行更新。

      支付的安全永无止境,为共同推动支付安全环境的建设,联迪公司将与行业主管机构、同行及盘古实验室等安全评测机构一起努力打造更安全的支付环境!

      福建联迪商用设备有限公司

      2017年10月27日

      盘古实验室回应

      

     

     

      在10月24日举办的GeekPwn2017活动上,盘古实验室的两名安全研究员利用未公开的终端操作系统0day漏洞进行了对POS机的模拟攻击演示。

      在GeekPwn结束后,盘古实验室第一时间联系了POS机的生产厂商—福建联迪商用设备有限公司,将此次在GeekPwn上利用的漏洞细节上报给他们。在短短的两天内,联迪商用及时采取了修复的措施,盘古实验室对联迪商用提供的新版本重新进行了测试,确认新版本能够不受上述漏洞的影响。

      操作系统层面的漏洞,由于攻击环境复杂、技术难度高等原因导致并不是很容易被利用。

      目前市面上使用同类终端操作系统的设备也可能存在类似的安全隐患。任何系统和软件都无法避免漏洞,没有绝对安全的系统,漏洞不是衡量安全的标准,只有重视漏洞并配合相应的安全机制才能达到相对的安全。

      如果漠视漏洞,导致用户饱受信息泄露和财产风险的困扰,是绝对的不安全。对厂商和开发者来说,只有重视安全并且能快速度响应和修复漏洞才是对用户负责任的做法。

      在此我们也对联迪商用的专业负责的精神和对安全重视的态度表示感谢。

     

      盘古实验室愿与各大厂商一道,共同营造良好的网络安全环境。

    POS申请安装流程

    提交资料,审核通过,上门安装,售后服务

    POS申请安装方案资料:

    方案一、身份证正反面、储蓄卡正反面、营业执照、经营场所照片。
    方案二、
    身份证正反面、储蓄卡正反面、手持身份证。

    手机POS申请安装资料:

    一、身份证正反面,储蓄卡正反面,手持身份证照,个人门头照
    安装电话(微信同号):15002778922(张经理)    18571508722(24小时)

    武汉东新科技官方网址:http://www.dongxinwh.com
    地址:武汉市洪山区雄楚大道229号黎明社区4单元

    上一条:中国四大银行人员数量6年来首现缩减,微信和支付宝功劳最大! 下一条:智能POS也玩代理:星POS助力代理商收入革命