網(wǎng)上有很多關(guān)于要安全與好用pos機(jī)怎么辦,拉卡拉POS機(jī)被爆重大安全漏洞的知識(shí)，也有很多人為大家解答關(guān)于要安全與好用pos機(jī)怎么辦的問題，今天pos機(jī)之家(m.afbey.com)為大家整理了關(guān)于這方面的知識(shí)，讓我們一起來看下吧!

本文目錄一覽：

1、要安全與好用pos機(jī)怎么辦

要安全與好用pos機(jī)怎么辦

文章首發(fā)于公眾號(hào)支付之家網(wǎng)

zfzjcn丨微信

www.zfzj.cn丨網(wǎng)址

支付之家網(wǎng)（WWW.ZFZJ.CN） 10月24日， GeekPwn2017國際安全極客大賽在上海召開，知名持牌第三方支付機(jī)構(gòu)拉卡拉旗下智能POS產(chǎn)品在大賽中被爆存在重大安全漏洞，挑戰(zhàn)選手僅用21分鐘即攻破POS機(jī)并成功復(fù)制銀行卡進(jìn)行消費(fèi)。

現(xiàn)在使用現(xiàn)金消費(fèi)的情況越來越少了，很多商家開始采用多合一的智能POS機(jī)收單。與傳統(tǒng)POS機(jī)相比，智能產(chǎn)品帶來了豐富功能，也產(chǎn)生了許多問題。

手捂著輸密碼，銀行卡密碼就不會(huì)丟嗎？這場(chǎng)攻破賽的挑戰(zhàn)者是來自盤古團(tuán)隊(duì)的聞?dòng)^行和趙振江，他們要展示的是利用拉卡拉POS設(shè)備的漏洞，在POS機(jī)器中替換關(guān)鍵應(yīng)用軟件，然后獲得所有在POS機(jī)上的刷卡信息，并復(fù)制銀行卡進(jìn)行消費(fèi)。

10:00:20 2017-10-24

破解項(xiàng)目：拉卡拉POS機(jī)銀行卡復(fù)制

被破解設(shè)備：拉卡拉 云POS A8

評(píng)委：諸葛建偉、萬濤

破解團(tuán)隊(duì)：上海盤古團(tuán)隊(duì)

選手：聞?dòng)^行、趙振江

10:05:16 2017-10-24

拉卡拉POS機(jī)破解進(jìn)行中。

10:08:19 2017-10-24

破解緊張進(jìn)行中，因?yàn)楝F(xiàn)場(chǎng)藍(lán)牙設(shè)備過多，存在一定干擾，目前破解尚未成功，距離結(jié)束僅剩8分鐘。雷鋒網(wǎng)報(bào)道中提及，“在這組選手挑戰(zhàn)過程中，現(xiàn)場(chǎng)環(huán)境受到了較多未知來源的藍(lán)牙干擾，這可能是現(xiàn)場(chǎng)觀眾無意打開的，也可能是有人刻意為之，難不成拉卡拉派了間諜？”

10:26:41 2017-10-24

時(shí)間剩余僅剩下1:29秒，已經(jīng)找到現(xiàn)場(chǎng)干擾源，主辦發(fā)提供的胸卡自帶藍(lán)牙，因?yàn)橛邢蘅臻g內(nèi)設(shè)備太多，導(dǎo)致干擾過大。目前選手改用有線連接方式進(jìn)行數(shù)據(jù)傳輸。

10:29:31 2017-10-24

很遺憾，20分鐘倒數(shù)計(jì)時(shí)結(jié)束，未能完成現(xiàn)場(chǎng)破解演示，但是這并不代表拉卡拉POS機(jī)絕對(duì)安全，應(yīng)現(xiàn)場(chǎng)觀眾要求，多給選手5分鐘，采用有線連接方式進(jìn)行繼續(xù)破解，不知道是否可以成功？

10:32:27 2017-10-24

加時(shí)賽，1分25秒，拉卡拉POS機(jī)破解成功，目前正在驗(yàn)證中。

10:37:12 2017-10-24

選手成功讀取銀行卡信息、密碼，并使用復(fù)制的新卡消費(fèi)成功，雖然破解不算成功，但是演示成功！

以上圖片來自安全客，雖然挑戰(zhàn)者沒有挑戰(zhàn)成功，但是漏洞依然存在，畢竟現(xiàn)實(shí)中的網(wǎng)絡(luò)黑客不會(huì)只嘗試20分鐘攻破POS機(jī)。

公開資料顯示，拉卡拉成立于2005年，于2011年5月3日成功獲得人民銀行頒發(fā)的《支付業(yè)務(wù)許可證》，目前已經(jīng)續(xù)展成功有效期至2021年5月2日。拉卡拉支付牌照業(yè)務(wù)類型覆蓋互聯(lián)網(wǎng)支付、移動(dòng)電話支付、數(shù)字電視支付、銀行卡收單、預(yù)付卡受理，屬于千金難買的全牌照支付公司，其在國內(nèi)第三方移動(dòng)支付領(lǐng)域和線下銀行卡收單行業(yè)保持交易規(guī)模前三。

2016年2月，拉卡拉嘗試用資產(chǎn)注入的方式，重組上市公司“西藏旅游”。重組預(yù)案公布后引起諸多質(zhì)疑，市場(chǎng)認(rèn)為西藏旅游通過精妙設(shè)計(jì)故意規(guī)避借殼，上交所也連續(xù)發(fā)出多封重組問詢函，要求公司進(jìn)行解釋說明。在重重壓力下，西藏旅游在去年6月份終止與拉卡拉的重組。

今年3月3日，證監(jiān)會(huì)披露了拉卡拉在創(chuàng)業(yè)板上市的招股說明書。此次IPO，系拉卡拉獨(dú)立拆分“拉卡拉支付”業(yè)務(wù)上市，而非集團(tuán)層面的IPO。根據(jù)首次公開IPO申報(bào)稿，拉卡拉擬發(fā)行不超過4001萬股，目標(biāo)是登錄深交所創(chuàng)業(yè)板。

6個(gè)月后，拉卡拉因申請(qǐng)文件不齊備等被證監(jiān)會(huì)中止IPO。拉卡拉表示被證監(jiān)會(huì)列入中止IPO審查名單的原因是，律師事務(wù)所更換簽字律師。目前尚未有最新進(jìn)展的消息。

此外，拉卡拉收單業(yè)務(wù)卻也是違規(guī)重災(zāi)區(qū)，過去一年，三家子公司因違規(guī)受到了央行不同程度上的處罰。2016年3月17日，拉卡拉寧波分公司因未落實(shí)特約商戶實(shí)名制，要求停止寧波市銀行卡收單業(yè)務(wù)一年；2016年10月25日，拉卡拉福建分公司因未按規(guī)定開展客戶身份識(shí)別、未按規(guī)定保存客戶身份資料和交易記錄、未按規(guī)定報(bào)送可疑交易報(bào)告；2016年12月22日，拉卡拉安徽分公司因違反銀行卡收單業(yè)務(wù)相關(guān)規(guī)定，給予警告。

支付之家網(wǎng)（ZFZJ.CN）了解到，早在2015年10月24日的世界級(jí)黑客大賽GeekPwn嘉年華上，就有拉卡拉旗下產(chǎn)品被爆存在安全漏洞，選手成功攻破拉卡拉收款寶POS機(jī)，使卡內(nèi)余額莫名消失。同樣被攻破的還有盒子支付POS機(jī)等。

選手通過安卓手機(jī)綁定拉卡拉收款寶POS機(jī)，并在手機(jī)上安裝Xposed模塊去劫持交易信息。只要用戶用銀行卡查詢余額，手機(jī)會(huì)將交易信息劫持下來，用另一張卡去刷卡轉(zhuǎn)帳，輸入任意密碼，就可以轉(zhuǎn)走前面銀行卡上的余額。整個(gè)過程選手本身并未直接接觸該銀行卡，更沒有獲得該卡密碼。

去年4月，央行發(fā)布了《非銀行支付機(jī)構(gòu)分類評(píng)級(jí)管理辦法》，系統(tǒng)安全被列為基本評(píng)價(jià)指標(biāo)，占比15%，為第三大考量因素。

人民銀行關(guān)于《支付業(yè)務(wù)許可證》續(xù)展工作中也明確表示“在支付業(yè)務(wù)設(shè)施安全及風(fēng)險(xiǎn)監(jiān)控方面存在重大缺陷，或存在較大規(guī)模的盜竊、出賣、泄露、丟失客戶信息情形的”，應(yīng)指導(dǎo)其客觀審慎開展續(xù)展申請(qǐng)，敦促引導(dǎo)其開展兼并重組，調(diào)整支付業(yè)務(wù)類型或覆蓋范圍、穩(wěn)妥安排市場(chǎng)退出等工作。

距離錢越近的地方，安全問題不得兒戲，我們也相信拉卡拉能盡快修復(fù)漏洞！

- - - - - - - - - -

責(zé)編丨陳晨（微信zfzjcc）

支付之家網(wǎng)（WWW.ZFZJ.CN）

*文章為作者獨(dú)立觀點(diǎn)，不代表支付之家網(wǎng)立場(chǎng)*

以上就是關(guān)于要安全與好用pos機(jī)怎么辦,拉卡拉POS機(jī)被爆重大安全漏洞的知識(shí)，后面我們會(huì)繼續(xù)為大家整理關(guān)于要安全與好用pos機(jī)怎么辦的知識(shí)，希望能夠幫助到大家！