在美国非常流行的Square移动读卡器可以很容易地变成“黑客工具”—它完全可以用来窃取信用卡数据。三位安全研究人员将在这两天举行的BlackHat黑客大会上展示他们的研究成果。
Square Reader是一个微型装置,它使得小型零售商可通过手机支持刷卡,而不用购买昂贵的PoS机系统。然而,除了它带来的便利之外,这个廉价易用的替代工具内存在着一个严重漏洞,它可能允许任何人轻易窃取信用卡信息。而攻击者所需要的只是一个螺丝刀、一瓶强力胶水,大约10分钟就能把较新款Square Reader变成一个便携式的微型信用卡侧录器。
波士顿大学的三位安全研究人员发现了一种物理篡改Square Reader的方法,并能够禁用其加密算法,这种加密算法通常用来保护传输到智能手机上的信用卡数据。篡改之后的设备看起来与Square Reader几乎一样,但是Square公司反击说这种篡改设备不能与官方的Square APP适配正常工作。
然而,研究人员声称适配APP并不重要,修改后的设备仍然可以用作普通的信用卡侧录器,并能够存储和记录用户的信用卡信息。攻击者甚至可以开发一个看起来合法的非官方应用程序,但是该应用内隐藏了录制代码。
除了上面提到的方法,研究人员还发现了另一个漏洞:该漏洞允许将信用卡数据直接记录到一个智能手机上(无需做任何Square Reader设备篡改行为)。恶意商家可以使用这种方法诈骗他们的顾客,即首先刷信用卡到他们的智能手机上,然后通过Square APP将这些信息回放以进行欺诈性交易。
安全研究人员Alexandrea Mellen告诉Motherboard:“我可以捕获到这个信号,并使用网上可得到的解码器转换这个号,然后我就得到了你的信用卡信息。”Square公司承认,使用这些研究人员描述的方法有可能回放刷卡记录,但该公司认为这不算漏洞。
Square在漏洞平台上发表的报告中写道:“我们认为这不是一个安全风险,因为不可能多次处理一个存储刷卡过程。”
在这两天的拉斯维加斯BlackHat黑帽大会上,这三位安全研究人员John Moore、Alexandrea Mellen和Artem Losev将展示他们的研究成果《移动的骗局:攻击Square Reader》。
