We're sunsetting PodQuest on 2025-07-28. Thank you for your support!
Export Podcast Subscriptions
C
Christoph Neuens
间
间地塔尔德科夫斯基
研究者发现瑞士广泛使用的 Worldline Yamani XR 信用卡终端存在安全漏洞。我通过拆解发现,只需简单操作就能获得 Root 权限,这让我感到非常意外。虽然该终端配备了各种防拆硬件,但固件内容竟然以明文存储,并且可以通过串口线直接获得最高权限,几乎没有任何技术门槛。不过,进一步探查发现,真正处理支付数据的安全功能由独立的安全芯片控制,即使拿到 Root 权限也无法直接访问核心敏感数据。尽管如此,在量产终端上存在如此明显的后门仍然存在潜在风险,这让我觉得工程师可能有些粗心。
Deep Dive
一位安全研究者发现瑞士广泛使用的Worldline Yamani XR信用卡终端存在严重安全漏洞,只需通过串口线即可获得root权限。尽管核心支付数据受保护,但如此明显的硬件后门依然令人担忧。
- 瑞士Worldline Yamani XR信用卡终端存在安全漏洞
- 通过串口线即可获得root权限
- 老旧的Linux系统和未加密的固件
- 核心支付数据由独立安全芯片保护
Shownotes Transcript
Empty