近日，在GeekPwn上海站现场，支付百科团队观摩了盘古团队攻破智能POS，知名厂家联迪出厂的A8型号智能POS机被两位黑客完成入侵，他们用无线技术黑入智能POS机，并在设备中替换关键底层应用并获取最高权限，最终取得消费者刷卡时的所有的银行卡信息并复制银行卡进行消费获利。

紧接着，产生了连锁影响，由于联迪A8是当下的明星智能POS机，并在市场上有很高的出货量，因此涉及多家支付机构。支付百科根据市场上一份数据显示，截止2017年上半年，联迪的这款APOS A8出货量超过150万台，仅上半年5个月就出货100万台，跃居行业首位。联迪商用副总裁程翔曾经表示感谢500家客户，到现在，应该不止500家的客户应该已经非常焦急的找联迪要说法了。

在支付百科粉丝中，有包括美团、通联、银X通等数十家支付机构表示曾大量采购联迪A8这款产品。目前联迪还未给予相关说法。

网上流传有的支付机构对于联迪此款设备已经停止采购，并要求联迪进行整改。

你说这个能怪第三方支付机构吗，肯定也不能啊，支付机构是纯躺枪，因为此款设备经过银行卡检测中心、银联的认证和推荐的啊。

对此银联相关人士对支付百科表示，此次攻击环境与真实消费环境不一致，由于商户对设备进行管理，风险可控。并且表示此次攻击只是磁条卡，目前政策已经全面换发行芯片卡，带磁条的复合卡也被关闭磁条交易。

对于联迪A8设备情况，银联对此智能POS进行了全面检测，并要求相关厂商立即自查，确定原因尽快升级加固方案。

中国银联同时提醒，请相关厂商严格按照银联技术规范要求生产相关设备。智能POS作为近两年最新面世的终端形态，采用开放式的智能操作系统（主要是开源的安卓系统），建议相关厂商及时安装安卓操作系统发布的安全补丁，避免已知安全漏洞的影响。

联迪方面对支付百科表示较为冤枉：经过与极客大赛方有沟通，这次的攻击是利用了安卓系统的漏洞，也就是说安卓设备都存在问题，不仅是智能POS，对此并非硬件问题，只需要完成版本升级即可解决。

攻击分析及建议

另外公众号金融科技大讲堂的作者老吴、马歆裕也对此次攻击进行了详细研究。

认为攻击者可能是利用了POS机设备里面的漏洞，并替换了设备里面关键应用软件成功地破解了银行卡账号和密码，并复制伪卡成功消费。

第一，攻击者通过蓝牙下载攻击程序并成功安装，替换了原来POS中的程序，并非常可能获得了POS机系统的Root权限。对此分析认为一是POS机中没有进行最小安全配置；二是攻击者利用了某种漏洞获取了POS机的root权限，打开了USB数据传输的设置并安装了攻击程序。

针对第二种情况，包括检测机构及卡组织要求的行业规范中同样要求：设备应对每个协议和接口都进行漏洞扫描和评估，确保没有漏洞或者存在的漏洞已经被解除。

第二，攻击者下载应用应该获得POS固件的认证，就行你苹果手机下载非AppStore的第三方应用时需要进行安全识别认证，因此可以说POS安全认证功能保护强度不够。

第三，攻击者获取了持卡人磁条卡数据和密码，说明交易过程中，密码在输入时没有被加密，或者明文数据存储安全模块保护级别不够，被应用程序读取，这是明显的低级问题。按照行业终端安全要求，交易密码从键盘输入后应立即加密，且不能明文直接传输。

对于设备问题是否要采取召回？

对于这种信息保护有瑕疵的（凡被攻破的产品肯定是在技术上有漏洞的）产品，金融、支付行业是否应该建立一种召回制度，铺设机具的公司应该负有召回的责任？

有支付百科资深读者表示，POS机这种金融设备如果出现漏洞及安全问题，应该与汽车行业一样，建立有效的召回机制，保障行业有序健康发展。

但支付百科主编刘科长认为，汽车主要影响人身生命安全，而POS机如果是硬件存在问题的确是可以进行选择性召回，因为几百万家商户正常使用的POS你去给进行替换或者取回都或多或少影响商户的使用，如果是软件可以打“补丁”进行防范的话，那就需要设备厂商进行版本升级、收单机构进行商户支持，卡组织进行监督，这样才能完成这次漏洞的有效控制，让消费者放心支付。

攻破联迪A8智能POS机的盘古团队也表示，联迪在两天内进行了修复措施。盘古团队对新版本重新进行了测试，确认新版本可以不受上述漏洞的影响。支付百科认为，也就是说联迪A8只要更新到最新版本，可预防此次事件的漏洞，各采购此款设备的收单机构，可以紧急联系联迪方面进行协助升级。

但也有相关内部人向支付百科透露，主要是系统端口没有被封死，但这个问题去年就听说了，没想到他们一直没有改。

截止支付百科发稿前，联迪方面已经发布声明，并发布补丁包，收单机构等客户对存量终端进行更新。

科长最后说一句，你有没有怀念乌云呢？

靠谱众投 kp899.com：您放心的投资理财平台，即将起航！