【BlackHat18】：小心mPOS读卡机内含安全漏洞，窜改消费金额让你荷包大失血

企业安全解决方案供应商Positive Technologies在上周举行的黑帽（Black Hat）骇客大会上指出，行动收银机（mobile point-of-sale，mPOS）装置含有众多漏洞，将允许不良商家窜改屏幕上所显示的金额，或是让骇客取得消费者的支付卡资讯。

mPOS可借由智能手机、平板电脑或无线装置来执行支付卡的收银功能，它借由蓝牙连至装置上的行动程式，再将资料传送至支付供应商的服务器上。根据电子交易协会（Electronic Transactions Association，ETA）的预测，到了2019年，全球的收银终端将有接近半数采用mPOS。而Positive评估的是在美国与欧洲市场的热门品牌，包括Square、SumUp、 iZettle与PayPal。

Positive表示，这4个品牌的mPOS装置或多或少都存有安全漏洞，这些漏洞允许骇客执行中间人攻击，透过蓝牙或行动程式传递任意程式，或者是变更磁条交易的支付款项，也能远端执行程式。

例如有些mPOS读卡机在执行蓝牙传输时没有采用安全的配对机制，而让邻近的骇客得以入侵，进而执行中间人攻击，像是允许不良商家变更消费者在屏幕上所看到的讯息，也许是看到交易失败的假讯息，让消费者用其它方式再付一次款项，或者是在屏幕上显示与实际支付金额不符的数字。

还有两个读卡机含有任意程式攻击漏洞，让骇客得以存取装置的档案系统，在加密前拦截卡片资讯。

有鉴于基于磁条扫描的支付卡比芯片卡更容易外泄资料，因此Positive建议商家应避免采用磁卡交易，而是利用芯片+PIN码、芯片+签名或非接触式支付选项。Positive已将研究结果提报给上述业者，在发表报告之际皆已修补。