针对近期某智能POS机攻击案例分析及建议

-回复 -浏览
楼主 2018-07-15 06:59:37
举报 只看此人 收藏本贴 楼主


10月24日,GeekPwn2017国际安全极客大赛在上海召开,盘古团队利用POS终端的漏洞,偷偷在智能POS机中植入一个后门,替换关键应用软件,然后就可以获得所有在POS机上的刷卡信息,包括支付密码。该事件的发生犹如一枚深水炸弹,激起业界对于智能POS的安全探讨,毕竟安全影响着整个支付行业的市场走向。针对该事件,近日信陵培训也对攻击案例进行了较为详细的分析,以下为原文:


近期某安全大赛两名选手仅用了21分钟,就攻破了一款通用POS机,成功窃取到刷卡人的银行卡账号和密码,并复制伪卡进行消费。


1

攻击道具


攻击者使用的道具很简单,两台笔记本,两台POS机,一台用来攻击,一台用来验证;两张卡片,一张能正常消费的黑卡磁条卡,另一张用来复制的废卡。


2

攻击过程


现场过程也很简单:持卡人先写出黑卡的账号和密码,不让别人看到,用来核对最后攻击者破解的结果。然后攻击者伪装成消费者,在输密码过程中对POS机动动手脚,假装完成消费。而后面的消费者在在动了手脚的POS上刷黑卡时,攻击者就窃取到了这张黑卡的相关信息。


3

攻击方式及结果


经分析攻击者可能是利用了POS机设备里面的漏洞,并替换了设备里面关键应用软件成功地破解了银行卡账号和密码,并复制伪卡成功消费!

以上案例不失为一场精彩的演示,为此,结合案例分析其可能的原因并给出建议。


1

POS机安全权限问题


从攻击过程分析,攻击者使用蓝牙下载攻击程序并成功安装,替换了POS机中关键应用程序,同时,攻击者很可能获取了POS机系统root权限。智能终端类似一台Android手机,根据行业终端安全要求,终端设备的操作系统仅需包含必须的组件和服务,操作系统必须被安全的配置并以最小权限运行。据此要求,操作员或者攻击者应得不到下载程序和安全应用程序的权限。

据此分析该案例POS机可能存在两种情况:一是POS机中没有进行最小安全配置;二是攻击者利用了某种漏洞获取了POS机的root权限,打开了USB数据传输的设置并安装了攻击程序。针对第二种情况,行业规范中同样要求:设备应对每个协议和接口都进行漏洞扫描和评估,确保没有漏洞或者存在的漏洞已经被解除。


2

POS机应用程序安装认证问题


分析该案例中攻击者可能通过替换POS机设备关键应用程序,从而窃取持卡人的银行卡账号和密码敏感信息。根据行业终端安全要求,POS机应用程序下载到POS机之前必须经过POS机设备固件的认证,设备不能随便安装未经验证的应用程序。而实际攻击过程中成功地安装了一个攻击程序,说明该POS机可能缺失对安装新应用的认证功能,或者此认证功能保护强度不够,很容易被屏蔽,从而失去作用。


3

应用程序获取明文密码


攻击过程中,攻击者窃取了银行卡磁道数据和密码,说明在磁道数据在传输或者处理过程中被明文获取,密码在输入时没有被立即加密,或者明文数据存储安全模块保护级别不够,被应用程序读取,从而导致攻击者成功获取了明文磁道数据和密码,复制了卡片,且在另一台POS机中完成交易。按照行业终端安全要求,交易密码从键盘输入后应立即加密,且不能明文直接传输。同时,要求明文数据从输入到加密成密文的过程中应受到相关保护机制的保护,并且所有应用程序是无法接触到明文的。

在本次攻击中,攻击者是用了一到两分钟对POS机进行了操作,用攻击程序替换了关键应用程序,但在实际刷卡时,柜台操作员只允许对POS机输入密码,虽输密码时操作员理应回避,但是顶多几十秒就可完成,若时间过长肯定会引起操作员的怀疑,所以在这么短时间内完成一个攻击程序的安装是不现实的,除非伙同操作员一起作案,但若伙同操作员作案属于管理问题,与技术上无关。所以在实际消费过程中该攻击很难成功。即便如此,仍需引起我们大家的重视,建议如下:


对广大持卡人建议



该案例中使用的银行卡是磁条卡,与之前所有银行卡盗刷案件类似。相对IC卡来说,磁条卡本身防护程度较低,磁道数据较易泄露并被复制成伪卡。国家近几年在大力推行银行IC卡,因为IC卡较磁条卡更难被复制,即使芯片卡中的数据泄露,也很难直接用于制造伪卡。为了减少防不胜防的诈骗行为,建议大家把手中的银行磁条卡换成银行IC卡。


对收单机构和商户的建议



随着中国支付产业发展、支付服务方越来越多、POS机具不断布放,商户申请使用POS机越来越容易,但随之而来的POS机被移机、篡改、攻击的风险也越来越高。在本次攻击中,攻击者仅是用了一到两分钟即对POS机进行了攻击,达到目的。中国人民银行和银联对POS机具使用有明确的安全管理要求,收单机构和商户应严格遵循POS机使用安全规定,不得非法改造和攻击POS机具,同时应对采购使用的机具进行安全审查和维护。


对终端厂商的建议


POS机终端厂商应对出售的POS机进行及时的升级管理和安全维护,并按照行业标准及时对存在漏洞的机具进行升级维修,严格按照行业认证管理要求进行生产和销售,确保广大用户的用卡安全。(转自:金融科技大讲堂作者:老吴  马歆裕


智能POS机的安全设计哪个环节最容易出现漏洞呢?11月15日,将在深圳召开的2017第二届中国移动金融安全大会上,银行卡检测中心安全专家将以《智能POS终端常见的安全问题及设计要求》进行专题分享,届时可以更加详细解析智能POS的安全问题。


2017第二届中国移动金融安全大会

在这里等你!

 活 | 动 |  | 



确认参会演讲嘉宾信息:


中国金融电子化公司原董事、人民银行科技司原副司长 李晓枫;

中国支付行业监管协会;

北京移动金融产业联盟秘书长 班廷伦;

深圳市互联网金融协会秘书长 曾光;

第三方支付安全合作联盟秘书长 李昂扬;

中国银联区块链团队负责人 周钰;

深圳市公安局反电信网络诈骗专家 王永昌;

中国工商银行软件开发中心专家 蔡凌玮;

银行卡检测中心安全专家 翁俊峰

蚂蚁金服技术总监、互联网金融身份认证联盟IFAA秘书长 杨文波;

意法半导体SE和NFC市场经理 David Renno;

北京豆荚科技产品总监 杨子光;

纽创信安创始人CEO 樊俊锋博士;

华为终端云安全工程部技术总监 丁国峰;

普华永道风控服务合伙人 颜国定;

CSA云安全联盟研究院院长 叶思海;

平安科技首席安全官、平安金融安全研究院执行副院长 李洋;

盒子支付安全专家;

……

嘉宾资料陆续更新中,请尽快报名。


11月16日闭门研讨会议程


1~第三方支付安全闭门研讨会;

移动支付网、第三方安全合作联盟联合主办


2~网络电子身份认证eID研讨会;

移动支付网、金联汇通联合主办


16日活动仅开放部分名额,有需要的请联系主办方:

移动支付网姜风,手机/微信:18002540911


我要推荐
转发到