最近，安全研究實驗室發(fā)現(xiàn)，德國及歐洲部分國家的支付系統(tǒng)中忽視了一些安全的基本原則和最佳范例，無法保證客戶數(shù)據(jù)安全，易被攻擊者利用進行金融詐騙。

安全研究實驗室的專家稱，德國的許多支付終端使用的是早已被證實存在漏洞的90年代舊版協(xié)議，并且在數(shù)據(jù)加密方面也存在問題。

根據(jù)研究員介紹，因為這些國家的支付系統(tǒng)使用的是舊版的協(xié)議，漏洞既存在于收銀臺與PoS間，另一方面，在通過協(xié)議將數(shù)據(jù)從支付終端傳輸至支付處理中心/銀行的過程中也存在漏洞。

內(nèi)部漏洞

在本地，研究人員發(fā)現(xiàn)有很大比例的德國支付程序使用的是ZVT協(xié)議，該協(xié)議早已被公開容易受到簡單嗅探攻擊，攻擊者可以截獲信用卡數(shù)據(jù)。

并且，PoS機讀取信用卡的密碼，以及在獲取到交易授權(quán)后將響應信息傳遞回收銀臺的這段過程也是由ZVT協(xié)議負責的。

雖然上述的步驟是通過加密完成傳輸?shù)?，但是研究人員發(fā)現(xiàn)POS生產(chǎn)商將加密密匙保存于PoS機中，并且在同一個支付點反復使用同樣的密匙。

這也就是說，如果攻擊者可以入侵一臺PoS終端機并且提出加密密匙，那么他就有能力讀取商店本地LAN中的加密流量，包括銀行卡卡號及密碼。

外部漏洞

遺憾的是，在PoS終端機與支付處理中心/銀行之間的通信也同樣存在問題。在交換雙方數(shù)據(jù)時使用的協(xié)議是ISO 8583（金融交易卡原始電文-交換電文規(guī)范）的一個變種，在德國與其他國家被稱為Poseidon，但這個變種中存在一個認證缺陷。與之前的內(nèi)部漏洞相似，PoS制造商也是用加密密匙對與外部交換的信息加密。這個key也會是存在PoS設備中并且極少變更。所以，在同一個商店中使用同一個pos機，同樣的密匙也是被反復使用的。

安全研究實驗室的專家談起使用Poseidon加密密匙在多個支付系統(tǒng)的危害時說道：“攻擊者可以獲取退款，或者打印多張手機充值卡，所花的費用都由商家來支付。”

安全實驗室的研究人員決定在12月27日在漢堡舉行的第32屆混沌通信大會（32C3）中進行具體的展示。 　　
德國的支付系統(tǒng)主要使用 ZVT 與 Poseidon 支付協(xié)議，這兩個協(xié)議因為同樣的原因存在風險：他們都在許多設備中共享密匙。所以對于每一個終端來說部署單獨的密匙至關重要，這也可以使該支付系統(tǒng)更具有抵抗欺詐的能力。