智能POS一攻就破?其实没那么简单!附4家公司正式回应
智能POS被攻破的新闻一夜之间引发业内大量的关注,智能终端的安全成为大家最关心的话题。今天,针对该事件,中国银联、联迪、盘古实验室都进行了正式回应。
10月24日上海举办的2017安全极客大赛上,挑战者攻破某品牌POS机并复制磁条银行卡。此情况系特殊环境下的攻击演示,与正常刷卡条件不同,不具备可比性。真实终端在收单机构和商户的严格管理下,不会轻易被攻击破解,风险可控。
且该攻击仅能够获取银行卡磁条信息,不能复制芯片卡信息。根据人民银行要求,2015年起已全面换发芯片卡,目前复合卡的磁条交易已全部关闭,使用芯片卡进行挥卡、插卡操作不会发生此类问题。建议尚未使用芯片卡的持卡人更换芯片卡保障自身交易安全,也建议收单机构和商户加强终端管理,防止POS终端被非法利用。
了解到相关情况后,银联第一时间对智能POS进行了全面检查,特别是对于新闻中提到的该款智能POS进行了全面检测,并要求相关厂商立即自查,确定原因尽快升级加固方案。中国银联同时提醒,请相关厂商严格按照银联技术规范要求生产相关设备。智能POS作为近两年最新面世的终端形态,采用开放式的智能操作系统(主要是开源的安卓系统),建议相关厂商及时安装安卓操作系统发布的安全补丁,避免已知安全漏洞的影响。
在10月24日举办的GeekPwn2017活动上,盘古实验室的两名安全研究员利用未公开的终端操作系统0day漏洞进行了对POS机的模拟攻击演示。
在GeekPwn结束后,盘古实验室第一时间联系了POS机的生产厂商—福建联迪商用设备有限公司,将此次在GeekPwn上利用的漏洞细节上报给他们。在短短的两天内,联迪商用及时采取了修复的措施,盘古实验室对联迪商用提供的新版本重新进行了测试,确认新版本能够不受上述漏洞的影响。
操作系统层面的漏洞,由于攻击环境复杂、技术难度高等原因导致并不是很容易被利用。
目前市面上使用同类终端操作系统的设备也可能存在类似的安全隐患。任何系统和软件都无法避免漏洞,没有绝对安全的系统,漏洞不是衡量安全的标准,只有重视漏洞并配合相应的安全机制才能达到相对的安全。
如果漠视漏洞,导致用户饱受信息泄露和财产风险的困扰,是绝对的不安全。对厂商和开发者来说,只有重视安全并且能快速度响应和修复漏洞才是对用户负责任的做法。
在此我们也对联迪商用的专业负责的精神和对安全重视的态度表示感谢。
盘古实验室愿与各大厂商一道,共同营造良好的网络安全环境。
盘古实验室回应
相关阅读: