最近，安全研究實驗室發(fā)現(xiàn)，德國及歐洲部分國家的支付系統(tǒng)中忽視了一些安全的基本原則和最佳范例，無法保證客戶數(shù)據(jù)安全，易被攻擊者利用進行金融詐騙。

安全研究實驗室的專家稱，德國的許多支付終端使用的是早已被證實存在漏洞的90年代舊版協(xié)議，并且在數(shù)據(jù)加密方面也存在問題。

根據(jù)研究員介紹，因為這些國家的支付系統(tǒng)使用的是舊版的協(xié)議，漏洞既存在于收銀臺與PoS間，另一方面，在通過協(xié)議將數(shù)據(jù)從支付終端傳輸至支付處理中心/銀行的過程中也存在漏洞。

內(nèi)部漏洞

在本地，研究人員發(fā)現(xiàn)有很大比例的德國支付程序使用的是ZVT協(xié)議，該協(xié)議早已被公開容易受到簡單嗅探攻擊，攻擊者可以截獲信用卡數(shù)據(jù)。

并且，PoS機讀取信用卡的密碼，以及在獲取到交易授權后將響應信息傳遞回收銀臺的這段過程也是由ZVT協(xié)議負責的。

雖然上述的步驟是通過加密完成傳輸?shù)?，但是研究人員發(fā)現(xiàn)POS生產(chǎn)商將加密密匙保存于PoS機中，并且在同一個支付點反復使用同樣的密匙。

這也就是說，如果攻擊者可以入侵一臺PoS終端機并且提出加密密匙，那么他就有能力讀取商店本地LAN中的加密流量，包括銀行卡卡號及密碼。

外部漏洞

遺憾的是，在PoS終端機與支付處理中心/銀行之間的通信也同樣存在問題。在交換雙方數(shù)據(jù)時使用的協(xié)議是ISO 8583（金融交易卡原始電文-交換電文規(guī)范）的一個變種，在德國與其他國家被稱為Poseidon，但這個變種中存在一個認證缺陷。與之前的內(nèi)部漏洞相似，PoS制造商也是用加密密匙對與外部交換的信息加密。這個key也會是存在PoS設備中并且極少變更。所以，在同一個商店中使用同一個pos機，同樣的密匙也是被反復使用的。

安全研究實驗室的專家談起使用Poseidon加密密匙在多個支付系統(tǒng)的危害時說道：“攻擊者可以獲取退款，或者打印多張手機充值卡，所花的費用都由商家來支付。”

安全實驗室的研究人員決定在12月27日在漢堡舉行的第32屆混沌通信大會（32C3）中進行具體的展示。 　　
德國的支付系統(tǒng)主要使用 ZVT 與 Poseidon 支付協(xié)議，這兩個協(xié)議因為同樣的原因存在風險：他們都在許多設備中共享密匙。所以對于每一個終端來說部署單獨的密匙至關重要，這也可以使該支付系統(tǒng)更具有抵抗欺詐的能力。