企业安全解决方案供应商Positive Technologies在上周举行的黑帽（Black Hat）黑客大会上指出，移动收银机（mobile point-of-sale，mPOS）装置含有众多漏洞，将允许不良商家窜改屏幕上所显示的金额，或是让黑客取得消费者的支付卡信息。

mPOS可藉由智能手机、平板电脑或无线装置来执行支付卡的收银功能，它藉由蓝牙连至装置上的移动程序，再将资料传送至支付供应商的服务器上。根据电子交易协会（Electronic Transactions Association，ETA）的预测，到了2019年，全球的收银终端将有接近半数采用mPOS。而Positive评估的是在美国与欧洲市场的热门品牌，包括Square、SumUp、iZettle与PayPal。

Positive表示，这4个品牌的mPOS装置或多或少都存有安全漏洞，这些漏洞允许黑客执行中间人攻击，透过蓝牙或移动程序传递任意程序，或者是变更磁条交易的支付款项，也能远端执行程序。

例如有些mPOS读卡机在执行蓝牙传输时没有采用安全的配对机制，而让邻近的黑客得以入侵，进而执行中间人攻击，像是允许不良商家变更消费者在屏幕上所看到的讯息，也许是看到交易失败的假讯息，让消费者用其它方式再付一次款项，或者是在屏幕上显示与实际支付金额不符的数字。

还有两个读卡机含有任意程序攻击漏洞，让黑客得以存取装置的档案系统，在加密前拦截卡片信息。

有鉴于基于磁条扫描的支付卡比芯片卡更容易外泄资料，因此Positive建议商家应避免采用磁卡交易，而是利用芯片+PIN码、芯片+签名或非接触式支付选项。Positive已将研究结果提报给上述业者，在发表报告之际皆已修补。