2012年7月31日 星期二

2012黑帽大會搶先看:輕忽POS漏洞 小心外洩信用卡號與PIN碼


2012黑帽大會搶先看:輕忽POS漏洞 小心外洩信用卡號與PIN碼

2012年黑帽大會(Black Hat)在美國拉斯維加斯開跑,來自英國MWR InfoSecurity的兩位安全研究人員Nils與Rafael Dominguez Vega在大會中展示,如何使用端點銷售情報系統(POS, Point of Sale)存在的漏洞,竊取信用卡號碼和PIN碼。

現場展示中,Nils和Vega挑選了三款不同的POS機型,不過這三款產品的logo都用貼紙貼住,Nils表示,其中兩款在英國相當普及,另一款則在美國市場很受歡迎。但Nils拒絕透露這三款機型的品牌,他表示,希望給予廠商一些時間去修正這些漏洞,目前這些廠商已被告知了這些漏洞,其中一家公司也已經著手修補。

兩款在英國相當普及的POS機型,其卡片付款應用程式都存在漏洞,讓駭客可以透過漏洞控制所有連接到POS系統的裝置,包括螢幕、列印收據的印表機、讀卡機,或PIN Pad(晶片讀卡機),倘若在EMV晶片內寫入惡意程式碼,並插入終端的讀卡機時,還可進一步展開攻擊。

兩位研究人員用了這樣的方式,在其中一台POS終端機上安裝賽車遊戲,然後控制它的螢幕與PIN晶片讀卡機,讓POS系統搖身一變成了遊戲機,在另一台POS終端機上,則安裝了一個用來竊取卡片資料的木馬程式,當插入不同的卡片後,其卡片密碼與PIN碼都會被記錄下來。

雖然現場僅展示如何竊取信用卡卡號和PIN碼,不過Nils指出,透過漏洞還可以做很多惡意行為,像是竊取卡片磁條上的資料,據此複製出一張相同的卡片,或是利用惡意晶片卡進行詐欺交易,惡意晶片卡可以鎖住實際付費行為,但依舊列印出收據,讓店家以為已經完成交易,實際上卻沒付費。

至於現場測試的第三台POS終端機,其構造較為複雜,使用觸控螢幕以提供signature-based付款機制,並可透過乙太網路進行遠端控制。Nils表示,這些POS終端機以及遠端的管理伺服器都未加密,因此,駭客可以使用ARP或DNS手法,透過區域網路將POS終端機導引到另一台惡意的伺服器上,然後進行控制。

Nils表示,他目前沒有證據可以說明其他POS製造商生產的產品是否也存在相同漏洞,但POS業者必須正視這樣的風險,雖然沒有任何電腦系統是完美的,但這些終端設備應該要提供更好的安全保護。

無獨有偶,約在一個月之前,就有安全研究人員提出POS安全的漏洞問題。德國安全研究人員以德國當地被廣泛使用的POS系統為例,展示如何透過區域網路入侵該裝置,然後使用它竊取卡片磁條資料和PIN碼。

除此之外,行動安全也是2012年黑帽大會相當受關注的議題。包括蘋果平台安全團隊經理Dallas De Atley登台講解iOS作業系統的安全設計,這也是蘋果首次以主講人身分參與黑帽大會。

Accuvant實驗室首席顧問Charlie Miller則展示如何使用NFC技術攻擊Android手機,雖然測試時的有效距離僅在4公分以內,但NFC無線技術所存在的漏洞仍是不可輕忽。

另外在DEFCON上,Blackwing Intelligence資安研究員Eddie Lee也指出手機付款的漏洞,他在現場展示如何以Android手機獲取有條碼的信用卡資訊,並利用這些資訊盜刷信用卡,他甚至認為同樣的手法也可適用於其他種類磁卡。

轉載自《資安人》