近日，在GeekPwn2017极客大赛上，来自盘古实验室的选手对市面上的某型号智能POS终端进行了现场攻击演示。演示人员突破应用验证机制在终端上安装了木马程序，基于终端操作系统漏洞获取了系统高级权限，从而获得银行卡的交易PIN和磁道数据，并实施磁条卡伪卡复制。

事件发生后，银行卡检测中心（以下简称“中心”）立即组织专业技术人员对实际布放的该型号终端与检测留样终端（2016年通过中心检测）进行对比分析，结果显示两款终端虽然型号相同，但固件版本不一致，实际布放的该型号终端应用验证方式由本地数字签名验证改为了远程服务器验证，且报文防篡改机制不健全，存在较为严重的安全漏洞，未按照银联卡受理终端设备安全认证规则备案并提交差异化测评。

中心自2007年以来，深入开展受理终端安全研究工作，积极参与金融行业技术标准制修订，多次配合金融监管部门开展支付受理环境风险排查和终端安全抽检，累积完成600余款终端的安全测评，在终端安全领域拥有丰富的经验。通过此事件，中心呼吁产业各方严格落实金融监管部门各项政策要求，进一步加强支付受理终端安全管理，确保布放终端与合格样品的一致性，同时完善操作系统漏洞监测和补丁更新机制，及时修补风险漏洞。银行卡检测中心愿与产业各方加强合作，共同提升支付安全防护水平。

银行卡检测中心

二〇一七年十月三十一日