10月24日，GeekPwn2017国际安全极客大赛在上海召开，*团队利用POS终端的漏洞，偷偷在智能POS机中植入一个后门，替换关键应用软件，然后就可以获得所有在POS机上的刷卡信息，包括支付*。

随后拉卡拉迅速做出回应：

作为A8智能POS的提供方，联迪随后也做出了回应，与此同时，向发现漏洞的*团队发表感谢信。

声 明

10月24日，*实验室在2017安全极客大赛上进行了联迪A8智能终端产品的模拟攻击演示，我司就此声明如下：

一、此情况系特殊环境下的攻击演示，与正常刷卡条件不同，不具备可比性。真实终端在收单机构和商户的严格管理下，不会轻易被攻击破解，风险可控。

二、经与*实验室沟通，确认如下事实：

1. *实验室利用未公开的终端操作系统漏洞对POS设备进行模拟攻击演示。

2. 此次受攻击的我司产品固件为早期版本，我司现有固件版本的防护机制可以有效防护针对该漏洞的攻击。

三、我司已经发布补丁包给各收单机构等用户，各用户已着手对存量A8智能POS进行更新。

支付的安全永无止境，为共同推动支付安全环境的建设，联迪公司将与行业主管机构、同行及*实验室等安全评测机构一起努力打造更安全的支付环境!

福建联迪商用设备有限公司

2017年10月27日

针对联迪的感谢信内容，*实验室也做出了积极回应：

在10月24日举办的GeekPwn2017活动上，*实验室的两名安全研究员利用未公开的终端操作系统0day漏洞进行了对POS机的模拟攻击演示。

在GeekPwn结束后，*实验室第一时间联系了POS机的生产厂商—福建联迪商用设备有限公司，将此次在GeekPwn上利用的漏洞细节上报给他们。在短短的两天内，联迪商用及时采取了修复的措施，*实验室对联迪商用提供的新版本重新进行了测试，确认新版本能够不受上述漏洞的影响。

操作系统层面的漏洞，由于攻击环境复杂、技术难度高等原因导致并不是很容易被利用。

目前市面上使用同类终端操作系统的设备也可能存在类似的安全隐患。任何系统和软件都无法避免漏洞，没有绝对安全的系统，漏洞不是衡量安全的标准，只有重视漏洞并配合相应的安全机制才能达到相对的安全。

如果漠视漏洞，导致用户饱受信息泄露和财产风险的困扰，是绝对的不安全。对厂商和开发者来说，只有重视安全并且能快速度响应和修复漏洞才是对用户负责任的做法。

标签：