移动支付网消息:据科技媒体TechCrunch报道称,一家专注于透析测试和暗网监控的网络安全公司Buguard向其透露,微智全景(Wiseasy)的支付终端存在高危漏洞,黑客可以远程管理和控制支付终端的仪表板(dashboards)。而用于访问微智全景云仪表板的微智全景员工密码(包括“管理员”账户)是Buguard在暗网中发现的。

Buguard还表示,这些员工密码是被员工计算机上的恶意软件所窃取,有两个云仪表板受到影响。这两个云仪表板没有受到基本的安全保护,如双因子认证,这使得黑客可以访问微智全景将近14万台支付终端。

据悉,TechCrunch看到的仪表板屏幕截图显示“管理员”用户可以远程访问微智全景支付终端,拥有包括锁定设备以及远程安装和删除应用程序的能力。该仪表板还允许任何人查看微智全景仪表板用户的姓名、电话号码、电子邮件地址和访问权限,包括添加新用户的能力。

而另一个仪表板视图还显示了支付终端连接的网络WiFi名称和明文密码。任何有权访问仪表板的人都可以控制微智全景支付终端并进行配置更改。

Buguard曾在7月初就该漏洞与微智全景联系,通过折中方案避免对外披露该漏洞,但与微智全景高层的沟通会议后面被取消,微智全景也拒绝透露云仪表板是否以及何时能够获得安全保障。

当TechCrunch联系到微智全景高层Jason Wang时,他没有发表评论。在来自微智全景发言人Ocean An的另一封电子邮件中,该公司确认问题已得到修复,并且已在仪表板中添加了双因素身份验证。目前尚不清楚微智全景是否计划将安全漏洞通知其客户。

据移动支付网了解,微智全景成立于2012年,是国内最早推动智能POS普及的支付终端企业之一,早期微智全景使用旺POS作为其智能POS品牌,通过互联网POS概念,推动智能POS产业发展。2015年,微智全景还获得了银联首款全触屏互联网POS机认证。

根据尼尔森最新发布的2020年全球POS与收单市场报告,微智全景在拉美(排名13名)、加拿大(排名22名)、中东及非洲(排名25名)、亚太地区(排名18名),均有较好的成绩。

据其官网介绍,微智全景致力于从智能金融终端和支付技术服务出发,探索数字银行与支付技术在全球的普及与发展。目前微智全景在全球10多个城市设有销售中心、研发中心和技术支持中心,已经在全球114个国家和地区,为数十个行业与场景的数千家商户及350家技术伙伴和支付机构提供服务。

相比传统POS,智能POS由于采用了开放的安卓系统,其终端安全问题更加突出,一般需要增加TEE等底层安全系统保障。智能POS的常见安全问题包括物理硬件、逻辑设计、操作系统等方面。

其中,操作系统的安全规范包括系统安全、应用安全、通信安全、密钥安全、交易安全等多个方面。具体内容涉及到根信任链、系统分区的自检、安全漏洞检查与更新、缓解缓冲区溢出、SElinux、未知来源、签名方案、默认公钥私钥、进程间通讯、通讯安全、交易安全、移机和切机等各个方面。

2017年10月,国内智能POS曾被攻破。GeekPwn2017国际安全极客大赛上,盘古团队选用了目前市面占有率较高的一款智能POS作为攻击对象。利用POS终端的漏洞,盘古团队偷偷在智能POS机中植入一个后门,替换关键应用软件,然后就可以获得所有在POS机上的刷卡信息,包括支付密码。此事引起了智能POS行业的轩然大波。

此外,国内监管也对终端安全提出更高要求。2017年1月,人民银行曾发布了特急文件《中国人民银行关于强化银行卡受理终端安全管理的通知》(银发〔2017〕21号),要求加强受理终端密钥管理,强化银行卡受理终端产品质量管理。

在规范方面,也有《银行卡受理终端安全规范 第1部分:销售点(POS)终端》、《银联卡受理终端安全规范-第2卷:产品卷-第6部分:智能销售点终端》、《中国银联智能销售点终端技术规范 安全卷 第1部分 操作系统安全规范》等多个文件,强化智能POS终端安全。

声明:本文来自移动支付网,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。