欧洲信用卡终端机仍存在严重漏洞

当美国准备转向使用芯片和密码时在模型信用卡交易中，欧洲仍然很高兴使用传统的更安全的手动交易。然而，欧洲目前的信用卡交易方式迟早会出现问题。

摘要

截至今天，德国新闻节目Tagesschau本月下旬举行的研究人员Chaos Communication Congress在未来的讨论中，我们将详细介绍欧洲支付终端列漏洞和糟糕的设计选项。这些将允许黑客窃取受害者PIN黑客甚至可以伪装成任何终端设备，伪装成任何终端设备，并将资金转入任何德国银行账户。这无疑会引起欧洲其他国家系统的担忧，因为这些漏洞完全可能存在于其他国家的终端设备中。

一个活跃的犯罪团伙可能会在几个月内开始攻击，研究员Karsten Nohl告诉电话采访Motherboard说：

基本上，任何使用词条和PIN所有的代码都很容易受到攻击。这是我们第一次遇到如此大规模的部署，这个问题非常严重，没有明显的修复计划。

包括团队成员Nohl, Fabian Br unlein 和 Philipp Maier，他们测试了五个不同支付机器的支付终端。支付机器来自大公司，提供机器终端软件和路由传输基础设施。终端测试使用两个网络，两个网络使用相同的背景软件。

也就是说，德国的支付机后台都是软件，所以每个人都会受到同样的影响。

攻击方式

Nohl 和 Br unlein根据支付终端使用的协议，将指定不同的攻击方法进行集中：ZVT 和 Poseidon。两种设备通信协议基本上使用不同的语言。

第一种有效的攻击方法：

第一次攻击依赖ZVT允许攻击者抓住受害者输入的问题PIN信用卡磁条中存储的数字和数据。通过攻击者将看似合法的加密签名信息发送到终端，要求用户输入PIN实现。攻击者必须等待目标开始合法交易，然后发出恶意命令。原始交易失败，但攻击者获得磁条数据和PIN码。

研究人员可以通过从测试终端提取签名信息的密钥来证明，但发现不同的终端提供相同的密钥。

密钥不容易找到：这项工作需要我们几周的时间。但因为密钥是一个可以存在于多个系统中的密钥，你只需要努力工作一次，就可以获得多个系统的密钥，换句话说，攻击者只需要获得一个密钥，然后他们就可以攻击他们遇到的其他支付终端。

为了发送信息，要求某人输入他们PIN，哦高年级这不需要真正与终端有任何接触，Nohl相反，他们只需要连接到相同的网络和终端进行通信。

在酒店，这些终端通常通过酒店的无线网络访问，因为酒店只有一个网络”，Nohl补充道。因此，少数终端可能会以这种远程方式受到攻击：大约200个终端暴露在开放网络中。几乎所有的终端都使用它ZVT，因此，可以估计，德国90%的终端容易攻击。

第二种有效的攻击方法：

第二种潜在的危险攻击让我们质疑整个系统的设计，Nohl这是我们第一次遇到如此大规模的部署问题，我们不知道有什么明显的修复方法。

每个终端都有独特的终端ID。所有终端都有相同的密钥，任何终端都可以伪装成其他终端，Nohl说。攻击者只需要知道他们目标的终端ID还有一些很容易获得的关于支付系统背景的信息。

但令人惊讶的是，终端ID它被印在终端生成的付款单上，并且ID很容易猜到，因为它们是按顺序逐一增加的。

根据Nohl德国的主要支付机TeleCash有成千上万的终端与他们的系统相连。

我们可以通过互联网Tor远程伪装成每个终端，我们基本上可以同时将资金从不同的地方转移到德国的特定银行账户。TeleCash公司暂时没有回应。Nohl所有的支付处理系统都被使用了Poseidon第二个有问题的协议。

问题很难解决

Nohl这些问题可能会影响德国以外的终端，因为它们都使用相同的通信协议。

2012年，Nohl他的同伴们透露了一些关于欧洲支付终端的问题。这些问题已经部分解决了，但当如此强大的团队想要修复最近的问题时，他们感到困惑。

Nohl认为这一发现比他们团队以前发现的安全事故更严重。研究人员已经通知了德国银行，该团队表示，他们将继续进行随后的披露过程。

无论如何，如果专业犯罪分子利用这个漏洞进行大规模攻击，攻击者的利益将远远超过传统的信用卡盗窃。目前，人们每次只能修改一个物理ATM机器，这似乎是有利可图的，攻击银行硬件是一个非常有鉴定力的犯罪行业。

更新

据Tagesschau报道，德国银行机构Deutsche Kreditwirtschaft他们已经进行了调查和研究，并确信他们的系统是安全的。他们说柏林的研究人员在实验室条件下的攻击是有效的，但不会影响信用卡所有者。电子商务组织BECN他们还强调，他们对这项研究非常认真，并要求个体经营者定期更新软件。

*原文链接：motherboard，FB小编FireFrank请注明翻译来源FreeBuf黑客与极客

更多内容请关注专业金融服务平台-必三四网（http://www.cardbaobao.com〕 必三四网还为您提供更多的银行信用卡优惠信息、信用卡指南、信用卡策略，让您更好地使用信用卡。