藍牙寶pos機安全嗎,移動支付安全性不容忽視

新聞資訊 | 2023-07-03 12:48 | 投稿人：pos機之家

網(wǎng)上有很多關于藍牙寶pos機安全嗎,移動支付安全性不容忽視的知識，也有很多人為大家解答關于藍牙寶pos機安全嗎的問題，今天pos機之家(m.afbey.com)為大家整理了關于這方面的知識，讓我們一起來看下吧!

本文目錄一覽：

藍牙寶pos機安全嗎

移動支付網(wǎng)訊：如今，手機掃碼支付已隨處可見，小微商戶只需展示收款二維碼即可完成收款交易。在張貼收款二維碼的付款方式下，如何快速確認消費者付款情況，成為一個難題，因此收款音箱應運而生。

收款音箱接收收款端付款信息，并將交易情況以語音的形式播報出來，播報聲音清晰、筆筆播報、即時播報，能縮短商家確認收款的時間，減少少付、逃單、漏單等情況出現(xiàn)，同時也能避免消費者提供虛假付款截圖而造成商戶的經(jīng)濟損失。因此收款音箱極大方便了商家收款體驗，受到小微商戶的青睞。

在《關于開展小店經(jīng)濟推進行動的通知》中提出新經(jīng)濟形式，地攤經(jīng)濟興起，眾多個體從業(yè)者紛紛參與到小店經(jīng)濟中，使得收款音箱的需求進一步提升。

據(jù)筆者了解，市場上收款音箱出貨量在3到4千萬臺左右。市場上收款音箱質(zhì)量參差不齊，筆者針對收款音箱的安全性僅從技術層面做如下探討，也希望其他技術大佬多多提出意見。

一、收款音箱安全分析

收款音箱一般定義為物聯(lián)網(wǎng)設備，在使用前一般與支付平臺進行商戶綁定，商戶訂單完成后將訂單信息推送至IoT云平臺服務端，云平臺再將交易結(jié)果推送給收款音箱（收款音箱產(chǎn)品交易流程參見下圖），從安全數(shù)據(jù)交互的角度來看主要分為兩部分：

1、收銀APP側(cè)數(shù)據(jù)安全

收銀APP側(cè)安全主要在于收款音箱設備綁定過程，收款音箱ID與商戶賬戶綁定，同時確保商戶賬戶信息不被泄露，主要攻擊在于替換掉商戶正確綁定的收款音箱設備。因此，這一鏈路的安全主要落在收單機構(gòu)身上，收銀APP以及支付平臺的安全起到關鍵作用。若商戶賬戶信息、登陸密碼未被泄露，綁定過程中具有加密保護，則攻擊難度較大（央行發(fā)布金融科技產(chǎn)品認證中已經(jīng)對APP安全做過要求）。

2、收款音箱側(cè)數(shù)據(jù)安全

從云平臺推送消息給收款音箱這一鏈路來考慮，收款音箱與云平臺之間的消息交互若被攻破，可直接改變交易結(jié)果，或者隨意向收款音箱發(fā)送交易信息，此時播報的信息就未必是顧客真實付款的交易了，后果嚴重。筆者對市場上主流收款音箱產(chǎn)品進行研究，發(fā)現(xiàn)收款音箱與云平臺之間的消息交互若未做足夠的安全保護，則容易遭到篡改。

攻擊過程如下：

1）先獲取或破解收款音箱連接的Wi-Fi密碼；

2）在樹莓派上偽造一個與收款音箱連接相同的Wi-Fi名稱和密碼的熱點；

3）對收款音箱連接的真實Wi-Fi進行攻擊，令其不能連接到真實Wi-Fi；

4）利用收款音箱自動連接的過程，連接到偽造的熱點；

5)若收款音箱與云平臺之間的數(shù)據(jù)交互未做足夠安全保護，采用中間人攻擊或重放攻擊，就可完全控制收款音箱與云平臺之間的數(shù)據(jù)交互了。此時可抓取交易播報消息，然后對交易信息進行重放或者隨意向收款音箱播報付款信息，做到在未付款的情況下，收款音箱正常播報偽交易信息。

3、其他安全思考

上述分析主要聚焦在交互數(shù)據(jù)攻擊上，筆者還從其他角度思考了收款音箱存在的安全風險：

1）收款音箱終端存儲敏感信息若未進行有效保護，也存在相關風險；

2）網(wǎng)絡環(huán)境選擇，在通訊過程中，Wi-Fi連接采用空密碼、WEP安全性低的加密方式，也易造成數(shù)據(jù)通訊的安全風險。

收款音箱的風險需要多維度攻擊，才能達到破譯、篡改播報信息的目的。但當收款音箱與云平臺數(shù)據(jù)交互未做足夠安全保護的情況下，則容易實施中間人攻擊，進行破譯、篡改播報信息比較簡單，容易被不法分子所利用。

二、安全意見和建議