在美国非常流行的Square移动读卡器可以很容易地变成“黑客工具”——它完全可以用来窃取你的信用卡数据。三位安全研究人员将在这两天举行的BlackHat黑客大会上展示他们的研究成果。

Square Reader是一个微型装置，它使得小型零售商可通过手机支持刷卡，而不用购买昂贵的PoS机系统。

小心“Square”记录你的信用卡数据

然而，除了它带来的便利之外，这个廉价易用的替代工具内存在着一个严重漏洞，它可能允许任何人轻易窃取你的信用卡信息。而攻击者所需要的只是一个螺丝刀、一瓶强力胶水，大约10分钟就能把最新款Square Reader变成一个便携式的微型信用卡侧录器。

波士顿大学的三位安全研究人员发现了一种物理篡改Square Reader的方法，并能够禁用其加密算法，这种加密算法通常用来保护传输到智能手机上的信用卡数据。篡改之后的设备看起来与Square Reader几乎一样，但是Square公司反击说这种篡改设备不能与官方的Square APP适配正常工作。

然而，研究人员声称适配APP并不重要，修改后的设备仍然可以用作普通的信用卡侧录器，并能够存储和记录用户的信用卡信息。攻击者甚至可以开发一个看起来合法的非官方应用程序，但是该应用内隐藏了录制代码。

信用卡回放攻击

除了上面提到的那种方法，研究人员还发现了另一个漏洞：该漏洞允许将信用卡数据直接记录到一个智能手机上(无需做任何Square Reader设备篡改行为)。恶意商家可以使用这种方法诈骗他们的顾客，即首先刷信用卡到他们的智能手机上，然后通过Square APP将这些信息回放以进行欺诈性交易。

安全研究人员Alexandrea Mellen告诉Motherboard：

“我可以捕获到这个信号，并使用网上可得到的解码器转换这个信号，然后我就得到了你的信用卡信息。”

Square公司承认，使用这些研究人员描述的方法有可能回放刷卡记录，但该公司认为这不算漏洞。Square在漏洞平台HackerOne上发表的报告中写道：

“我们认为这不是一个安全风险，因为不可能多次处理一个存储刷卡过程。”

在这两天的拉斯维加斯BlackHat黑帽大会上，这三位安全研究人员John Moore、Alexandrea Mellen和Artem Losev将展示他们的研究成果《移动的骗局：攻击Square Reader》。

(责任编辑：腰编辑)