|
![]()
小编科普:
SQUARE美国一家移动支付公司。Square用户利用Square***的移动读卡器,配合智能手机 使用,可以在任何3G或WiFi网络状态下,通过应用程序匹配刷卡消费,它使得消费者、商家可以在任何地方进行付款和收款,并保存相应的消费信息,从而大大降低了刷卡消费支付的技术门槛和硬件需求。
下次在小商场或百货店刷卡时,如果是通过Square读卡器完成***支付的话,一定要小心点。 一组研究人员发出警告称,现在广泛使用并且越来越流行的Square读写器很容易变成用来窃取你的***数据的读卡机侧录器。 Square读写器是一个允许小商贩无需把钱花在传统的***系统进程中,而直接接受***和***支付的微小装置。 然而,尽管它很方便,这个便宜又易于使用的替代物有一个重大缺陷,它可能允许别人轻易地窃取你的支付卡信息。 攻击者所需的只是一个螺丝刀,超强力胶水,以及大概十分钟时间把最新一代的Square读写器变成微小便捷的***盗读器。
![]()
将新一代Square读写器转变成***盗读器 来自波士顿大学的一个由三名安全研究人员组成的团队发现了通过修改硬性设备以及禁用加密的方法,来总体上保护你的***数据被传送到那些智能手机。
被修改过的设备看起来和Square读写器一模一样,但是Square公司反击称,修改过的设备对Square官方应用程序无效。 然而,研究人员称,尽管如此,改良后的设备仍然可以被正常使用为***盗读器来储存和记录卡上的信息。 攻击者甚至可以开发一个看起来合法,里面却隐藏着盗读代码的非官方应用。尽管遭遇这种设备的概率小之又小,还是有必要好好留意你的银行对账单。
不需修改Square读写器便可窃取***数据的方法 除了这个方法,研究人员还发现了另一个缺陷,他们能将***数据直接记录到智能手机上,甚至是使用常规的,未改造过的加密读卡器。
恶意商家可以用这个方法来诈骗他们的顾客。他们先是在智能手机上刷一下***,然后通过Square的应用程序回放来进行欺诈性交易。
三个安全研究人员之一的亚历山大·梅隆说,“我可以接受这个信号然后用免费在线使用的解码器将它装换,这样我就可以得到你们的***信息了。”
Square公司承认,用研究人员所介绍的方法的确存在回放记录进行识别的可能性,但是Square公司否认这是一个实际存在的缺陷。
“我们不把它视为一种安全风险,”一位Square员工在关于Square服务漏洞的报告中如是写道,“特别要说的是,在一次存储刷卡中多次操作是不可能的。”
周三即将在拉斯维加斯举行的黑帽安全会议上,约翰·摩尔,亚历山大·梅隆以及埃特姆·洛谢夫这三位安全研究人员将发表一场名为“移动的骗局:攻击SQUARE读写器”的演讲,来展示他们的发现。
| 
收藏