7月27日freebuf最新消息，在BlackHat2012会议中，研究人员证明三种被广泛部署的支付终端中存在漏洞，可能允许攻击者窃取信用卡数据和PIN码。
来自德国的安全研究人员Nils说：他们研究集中在三个特定型号（A、B、C）的支付终端（POS），其中两个在英国部署比较普遍，但在美国也有该终端。而第三个型号则被广泛部署在美国大多数地区。

研究人员拒绝透露确切的设备型号和制造他们的公司，因为他们想给厂商足够的时间来解决该问题。如果该问题一旦泄露，后果则不堪设想。

Nils称，这些漏洞使攻击者可以通过特制的EMV卡，控制这些设备的各个组成部分，如显示器、收据打印、读卡器和密码输入键盘。这些卡在被读取数据时候可以插入恶意代码。

研究人员在大会上用这种方法在实验装置A上安装了一个赛车游戏，并成功控制了键盘和显示器。
同时研究人员还利用同样的方法在实验装置B安装了一个记录卡号和PIN码的木马程序，然后通过插入不同的恶意卡片，提取该木马记录的记录信息。

大会中Nils提到，第三个支付终端比其他两个设备要先进，他包含了触摸屏，支持签名支付。该终端中上有：

智能读卡器
可以插入SIM卡进行通信
支持非接触式支付
一个USB端口
一个以太网端口
一个管理接口

并且该设备支持本地和远程访问。

Nils说，这些终端和远程管理服务器之间的通信都是不加密的，这意味着如果攻击者访问本地网络，他们可以使用像ARP或DNS欺骗技术，以截取该服务器通信的数据并进一步获取相关信息。

在演示过程中，研究人员能够开启telnet服务，用管理账户远程登录到支付终端的linux系统。Nils称，因时间和精力的原因，他们研究团队未去研究其他更多的终端，但不标明其他终端不存在漏洞。