拉卡拉POS機被爆重大安全漏洞,刷過的銀行卡輕易被盜刷!

2017-10-26 01:20:00 原作者: 張盒子 來自: 支付之家網 收藏 邀請

文章首發于公眾號支付之家網

zfzjcn丨微信

www.vsysyc.tw丨網址


支付之家網(www.vsysyc.tw) 10月24日, GeekPwn2017國際安全極客大賽在上海召開,知名持牌第三方支付機構拉卡拉旗下智能POS產品在大賽中被爆存在重大安全漏洞,挑戰選手僅用21分鐘即攻破POS機并成功復制銀行卡進行消費。


現在使用現金消費的情況越來越少了,很多商家開始采用多合一的智能POS機收單。與傳統POS機相比,智能產品帶來了豐富功能,也產生了許多問題。你的一次刷卡行為,可能會留下什么?僅有的消費金額?卡里余額?甚至是賬號密碼?


手捂著輸密碼,銀行卡密碼就不會丟嗎?這場攻破賽的挑戰者是來自盤古團隊的聞觀行和趙振江,他們要展示的是利用拉卡拉POS設備的漏洞,在POS機器中替換關鍵應用軟件,然后獲得所有在POS機上的刷卡信息,并復制銀行卡進行消費。



10:00:20 2017-10-24

破解項目:拉卡拉POS機銀行卡復制

被破解設備:拉卡拉 云POS A8

評委:諸葛建偉、萬濤

破解團隊:上海盤古團隊

選手:聞觀行、趙振江


10:05:16 2017-10-24

拉卡拉POS機破解進行中。


10:08:19 2017-10-24

破解緊張進行中,因為現場藍牙設備過多,存在一定干擾,目前破解尚未成功,距離結束僅剩8分鐘。雷鋒網報道中提及,“在這組選手挑戰過程中,現場環境受到了較多未知來源的藍牙干擾,這可能是現場觀眾無意打開的,也可能是有人刻意為之,難不成拉卡拉派了間諜?


10:26:41 2017-10-24

時間剩余僅剩下1:29秒,已經找到現場干擾源,主辦發提供的胸卡自帶藍牙,因為有限空間內設備太多,導致干擾過大。目前選手改用有線連接方式進行數據傳輸。


10:29:31 2017-10-24

很遺憾,20分鐘倒數計時結束,未能完成現場破解演示,但是這并不代表拉卡拉POS機絕對安全,應現場觀眾要求,多給選手5分鐘,采用有線連接方式進行繼續破解,不知道是否可以成功? 



10:32:27 2017-10-24

加時賽,1分25秒,拉卡拉POS機破解成功,目前正在驗證中。


10:37:12 2017-10-24

選手成功讀取銀行卡信息、密碼,并使用復制的新卡消費成功,雖然破解不算成功,但是演示成功!


以上圖片來自安全客,雖然挑戰者沒有挑戰成功,但是漏洞依然存在,畢竟現實中的網絡黑客不會只嘗試20分鐘攻破POS機。



公開資料顯示,拉卡拉成立于2005年,于2011年5月3日成功獲得人民銀行頒發的《支付業務許可證》,目前已經續展成功有效期至2021年5月2日。拉卡拉支付牌照業務類型覆蓋互聯網支付、移動電話支付、數字電視支付、銀行卡收單、預付卡受理,屬于千金難買的全牌照支付公司,其在國內第三方移動支付領域和線下銀行卡收單行業保持交易規模前三。


2016年2月,拉卡拉嘗試用資產注入的方式,重組上市公司“西藏旅游”。重組預案公布后引起諸多質疑,市場認為西藏旅游通過精妙設計故意規避借殼,上交所也連續發出多封重組問詢函,要求公司進行解釋說明。在重重壓力下,西藏旅游在去年6月份終止與拉卡拉的重組。


今年3月3日,證監會披露了拉卡拉在創業板上市的招股說明書。此次IPO,系拉卡拉獨立拆分“拉卡拉支付”業務上市,而非集團層面的IPO。根據首次公開IPO申報稿,拉卡拉擬發行不超過4001萬股,目標是登錄深交所創業板。


6個月后,拉卡拉因申請文件不齊備等被證監會中止IPO。拉卡拉表示被證監會列入中止IPO審查名單的原因是,律師事務所更換簽字律師。目前尚未有最新進展的消息。


此外,拉卡拉收單業務卻也是違規重災區,過去一年,三家子公司因違規受到了央行不同程度上的處罰。2016年3月17日,拉卡拉有限公司寧波分公司因未落實特約商戶實名制,要求停止寧波市銀行卡收單業務一年;2016年10月25日,拉卡拉支付有限公司福建分公司因未按規定開展客戶身份識別、未按規定保存客戶身份資料和交易記錄、未按規定報送可疑交易報告;2016年12月22日,拉卡拉支付安徽分公司因違反銀行卡收單業務相關法律制度規定,央行給予警告。


支付之家網(ZFZJ.CN)了解到,早在2015年10月24日的世界級黑客大賽GeekPwn嘉年華上,就有拉卡拉旗下產品被爆存在安全漏洞,選手成功攻破拉卡拉收款寶POS機,使卡內余額莫名消失。同樣被攻破的還有盒子支付POS機等。


選手通過安卓手機綁定拉卡拉收款寶POS機,并在手機上安裝Xposed模塊去劫持交易信息。只要用戶用銀行卡查詢余額,手機會將交易信息劫持下來,用另一張卡去刷卡轉帳,輸入任意密碼,就可以轉走前面銀行卡上的余額。整個過程選手本身并未直接接觸該銀行卡,更沒有獲得該卡密碼。


經濟日報曾指出,盜刷事件的發生,表明涉及盜刷的第三方支付平臺本身存在很大隱患。“查漏補缺是首先要做的。建議監管部門再次重申保護消費者資金安全的極端重要性,對網絡支付開展一次地毯式監督排查,包括對支付平臺的技術軟件、風險控制制度等進行全面體檢。”劉俊海建議,如果是技術漏洞,就盡快打補丁補漏洞,再造技術內部流程;如果支付平臺不具備風險控制的能力,則應當強制勒令取消支付業務。


去年4月,央行發布了《非銀行支付機構分類評級管理辦法》,系統安全被列為基本評價指標,占比15%,為第三大考量因素。


中國人民銀行關于《支付業務許可證》續展工作中也明確表示“在支付業務設施安全及風險監控方面存在重大缺陷,或存在較大規模的盜竊、出賣、泄露、丟失客戶信息情形的”,應指導其客觀審慎開展續展申請,敦促引導其開展兼并重組,調整支付業務類型或覆蓋范圍、穩妥安排市場退出等工作。


距離錢越近的地方,安全問題不得兒戲,我們也相信拉卡拉能盡快修復漏洞!


- - - - - - - - - -

責編丨陳晨(微信zfzjcc)

支付之家網(www.vsysyc.tw)

*文章為作者獨立觀點,不代表支付之家網立場*

支付之家公眾號
該文章已有0人參與評論

請發表評論

全部評論

上一篇:
快訊!富士康正式進軍移動支付行業發布時間:2017-10-24
下一篇:
不是聲明丨關于拉卡拉POS(聯迪A8)漏洞事件的6點回復發布時間:2017-10-27

精彩閱讀

排行榜

支付之家官方訂閱

掃碼微信公眾號
給你想要與成長

中國金融支付行業門戶網站
80027302
周一至周五 9:00-21:00
意見反饋:[email protected]

掃一掃關注我們

魯公網安備 37010202000950號  魯ICP備16029435號-1

©2017-2018 支付之家網(www.vsysyc.tw)  

3D2019119号码