最近，安全研究實(shí)驗(yàn)室發(fā)現(xiàn)，德國及歐洲部分國家的支付系統(tǒng)中忽視了一些安全的基本原則和最佳范例，無法保證客戶數(shù)據(jù)安全，易被攻擊者利用進(jìn)行金融詐騙。

安全研究實(shí)驗(yàn)室的專家稱，德國的許多支付終端使用的是早已被證實(shí)存在漏洞的90年代舊版協(xié)議，并且在數(shù)據(jù)加密方面也存在問題。

根據(jù)研究員介紹，因?yàn)檫@些國家的支付系統(tǒng)使用的是舊版的協(xié)議，漏洞既存在于收銀臺與PoS間，另一方面，在通過協(xié)議將數(shù)據(jù)從支付終端傳輸至支付處理中心/銀行的過程中也存在漏洞。

內(nèi)部漏洞

在本地，研究人員發(fā)現(xiàn)有很大比例的德國支付程序使用的是ZVT協(xié)議，該協(xié)議早已被公開容易受到簡單嗅探攻擊，攻擊者可以截獲信用卡數(shù)據(jù)。

并且，PoS機(jī)讀取信用卡的密碼，以及在獲取到交易授權(quán)后將響應(yīng)信息傳遞回收銀臺的這段過程也是由ZVT協(xié)議負(fù)責(zé)的。

雖然上述的步驟是通過加密完成傳輸?shù)?，但是研究人員發(fā)現(xiàn)POS生產(chǎn)商將加密密匙保存于PoS機(jī)中，并且在同一個(gè)支付點(diǎn)反復(fù)使用同樣的密匙。

這也就是說，如果攻擊者可以入侵一臺PoS終端機(jī)并且提出加密密匙，那么他就有能力讀取商店本地LAN中的加密流量，包括銀行卡卡號及密碼。

外部漏洞

遺憾的是，在PoS終端機(jī)與支付處理中心/銀行之間的通信也同樣存在問題。在交換雙方數(shù)據(jù)時(shí)使用的協(xié)議是ISO 8583（金融交易卡原始電文-交換電文規(guī)范）的一個(gè)變種，在德國與其他國家被稱為Poseidon，但這個(gè)變種中存在一個(gè)認(rèn)證缺陷。與之前的內(nèi)部漏洞相似，PoS制造商也是用加密密匙對與外部交換的信息加密。這個(gè)key也會是存在PoS設(shè)備中并且極少變更。所以，在同一個(gè)商店中使用同一個(gè)pos機(jī)，同樣的密匙也是被反復(fù)使用的。

安全研究實(shí)驗(yàn)室的專家談起使用Poseidon加密密匙在多個(gè)支付系統(tǒng)的危害時(shí)說道：“攻擊者可以獲取退款，或者打印多張手機(jī)充值卡，所花的費(fèi)用都由商家來支付。”

安全實(shí)驗(yàn)室的研究人員決定在12月27日在漢堡舉行的第32屆混沌通信大會（32C3）中進(jìn)行具體的展示。 　　
德國的支付系統(tǒng)主要使用 ZVT 與 Poseidon 支付協(xié)議，這兩個(gè)協(xié)議因?yàn)橥瑯拥脑虼嬖陲L(fēng)險(xiǎn)：他們都在許多設(shè)備中共享密匙。所以對于每一個(gè)終端來說部署單獨(dú)的密匙至關(guān)重要，這也可以使該支付系統(tǒng)更具有抵抗欺詐的能力。