网络研发实验室团队的研究人员在本周对这些漏洞的分析中说:"通过使用默认密码，我们能够通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)来执行任意代码，这些PoS终端的漏洞使攻击者能够进行任意数据包的发送、克隆卡、克隆终端，并且能够安装持久性的恶意软件。"

值得注意的是，受影响的设备是PoS终端，而不是PoS系统。PoS终端是读取支付卡(如信用卡或借记卡)的设备。PoS系统包括收银员与终端的交互，以及商家的库存和会计记录。

研究人员公布了这些PoS终端的两个安全问题。主要问题是它们在出厂时使用制造商默认的密码，但是这些密码可以使用谷歌搜索引擎来轻易地被找到。

研究人员说："这些凭证可以对特殊的'服务模式'进行访问，这种情况下，其中的硬件配置和其他功能都是可用的，有一家叫Ingenico的制造商，会阻止你更改这些默认的密码。"

仔细分析这些特殊的 "服务模式"，研究人员在拆下终端并提取出其中的固件后发现，它们包含了某些"未经公开的功能"。

研究人员说:"在Ingenico和Verifone的终端中，一些函数通过利用二进制漏洞(如堆栈溢出和缓冲区溢出)从而实现了任意代码执行的攻击操作，20多年以来，这些'服务的超级模式'一直允许未授权访问。通常情况下，这些功能只存在于古老废弃的代码中，但这些代码现在却仍然被部署在了新的终端中。"

攻击者可以利用这些漏洞发起一系列的攻击。例如，任意代码执行攻击可以让攻击者在PoS终端与其网络之间发送和修改传输的数据。攻击者还可以读取数据，允许他们复制人们的信用卡信息，并进行信用卡诈骗。

他们说："攻击者可以伪造和更改账户的交易，他们可以通过利用服务器端的漏洞，例如终端管理系统(TMS)中的漏洞，来攻击银行。但是这将使PoS终端与其处理器之间原有信任关系失效。"

研究人员联系了Verifone和Ingenico，同时此后针对这些问题发布了补丁。

Verifone在2019年底被告知存在此问题，研究人员后来证实，漏洞在2020年晚些时候已经被修复了。研究人员说:"在2020年11月，PCI已经在全球范围内发布了Verifone终端紧急更新的消息。"

同时，研究人员表示，他们花了近两年的时间才联系到Ingenico，并确认该漏洞已经完成了修复。