瑞士支付终端的惊人漏洞:未加密固件和可公开访问的root shell
2025-06-01
安全研究人员逆向工程了一款在瑞士广泛使用的Worldline Yomani XR支付终端,意外发现其固件未加密,且存在一个可公开访问的root shell。尽管设备具有多层物理防篡改机制,但调试接口可从外部访问,允许攻击者在30秒内获取root权限,部署恶意软件。然而,深入分析表明,Linux系统并非处理敏感数据(如卡信息)的核心组件,真正的安全功能由一个独立的加密和签名处理器处理。虽然这是一个严重的软件工程疏忽,但直接风险可能比最初预期的要小。