王英哲

研究人员详细介绍了销售点（PoS）终端中普遍存在的安全问题，这些问题已经向厂商进行了汇报，并且已经打上了补丁，该漏洞会使全球零售商使用的几款流行的PoS終端面临各种网络攻击的风险。受影响的设备包括Verifone VX520、Verifone MX系列和Ingenico Telium 2系列。这些设备已经被零售商广泛使用。例如，VeriFone VX520终端已经售出了超过700万台。

网络研发实验室团队的研究人员在近期对这些漏洞的分析中说：“通过使用默认密码，我们能够通过利用二进制漏洞（如堆栈溢出和缓冲区溢出）来执行任意代码，这些PoS终端的漏洞使攻击者能够进行任意数据包的发送、克隆卡和克隆终端，并且能够安装持久性的恶意软件。”

值得注意的是，受影响的设备是PoS终端，而不是PoS系统。PoS终端是读取支付卡（如信用卡或借记卡）的设备。PoS系统包括收银员与终端的交互，以及商家的库存和会计记录。

研究人员公布了这些PoS终端的2个安全问题，主要问题是他们在出厂时使用制造商默认的密码，但是这些密码可以使用谷歌搜索引擎轻易找到。

研究人员说：“这些凭证可以对特殊的‘服务模式进行访问，这种情况下，其中的硬件配置和其他功能都是可用的，一家叫Ingenico的制造商，会阻止你更改这些默认的密码。”

仔细分析这些特殊的“服务模式”，研究人员在拆下终端并提取出其中的固件后发现，他们包含了某些“未经公开的功能”。研究人员说：“在Ingenico和Verifone的终端中，一些函数通过利用二进制漏洞（如堆栈溢出和缓冲区溢出）从而实现了任意代码执行的攻击操作，20多年以来，这些‘服务的超级模式一直允许未授权访问。通常情况下，这些功能只存在于古老废弃的代码中，但这些代码现在却仍然被部署在新的终端中。”

攻击者可以利用这些漏洞发起一系列的攻击。例如，任意代码执行攻击，可以让攻击者在PoS终端与其网络之间发送和修改传输的数据。攻击者还可以读取数据，允许他们复制信用卡信息，并进行信用卡诈骗。

他们说：“攻击者可以伪造和更改账户的交易，他们可以通过利用服务器端的漏洞，例如终端管理系统（TMS）中的漏洞，来攻击银行。但是这将使PoS终端与其处理器之间原有信任关系失效。”

研究人员联系了Verifone和Ingenico，此后针对这些问题发布了补丁。

Verifone在2019年底被告知存在此问题，研究人员后来证实，漏洞在2020年晚些时候已经被修复了。研究人员说：“在2020年11月，PCI已经在全球范围内发布了Verifone终端紧急更新的消息。”

同时，研究人员表示，他们花了近2年的时间才联系到Ingenico，并确认该漏洞已经完成了修复。他们说：“不幸的是，他们在漏洞修复过程中没有与我们进行合作，但我们很高兴现在已经解决了问题。”