Un descubrimiento alarmante fue hecho recientemente durante la conferencia Sombrero Negro, celebrada en Las Vegas. Los investigadores de seguridad de Positive Technologies informaron que las vulnerabilidades de mPOS (Mobile Point-of-Sale) máquinas permiten a los atacantes hacerse cargo de las cuentas de clientes y robar datos de tarjetas de crédito. vendedores afectados incluyen Plaza, SumUp, iZettle, y PayPal.
Según lo informado por los investigadores Leigh-Anne Galloway y Tim Yunusov, los atacantes podrían alterar la cantidad cargada a una tarjeta de crédito. También son capaces de otros delitos como obligar a los clientes a utilizar otros métodos de pago, como banda magnética. Este último puede verse comprometida con mayor facilidad que los chips con el propósito de exfiltración de datos, investigadores explican.
Punto de venta móvil vulnerabilidades permiten a un atacante alterar Valores, Actas
El equipo de investigación descubrió una serie de fallos en los sistemas de pago de punto final algunos de los cuales podrían conducir a ataques MITM. Otros vectores de ataque construido en la explotación de estos defectos incluyen la transferencia de código arbitrario a través de Bluetooth y aplicaciones móviles, así como la manipulación de las transacciones de banda magnética.
Todos estos ataques son posibles debido a la función de los sistemas de manera MPO - a través de Bluetooth para conectarse a aplicaciones móviles y luego enviar los datos a los servidores del proveedor de pago. Al interceptar estas comunicaciones se hace posible manipular los valores y obtener acceso al tráfico de transacciones.
En la parte superior de esta, los atacantes pueden ejecutar remotamente código en equipos comprometidos y tener acceso completo a los sistemas operativos de los lectores de tarjetas. La lista de actividades maliciosas sobre la base de estas vulnerabilidades es bastante largo. Los atacantes también pueden alterar compras, cambiar sus valores o hacer algunas transacciones parecen que han disminuido.
Uno de los investigadores, Leigh-Anne Galloway, explicó que:
Actualmente hay muy pocos controles de los comerciantes antes de que puedan empezar a utilizar un dispositivo mPOS y menos escrupulosos individuos pueden, por lo tanto,, esencialmente, robar el dinero de la gente con relativa facilidad si tienen el conocimiento técnico. Tal como, proveedores de lectores necesitan para asegurarse de que la seguridad es muy alta y está integrado en el proceso de desarrollo desde el principio.
Además de las vulnerabilidades MPOS, los investigadores también informó de otras dos vulnerabilidades, identificado como CVE-2017 a 17668 y CVE-2.018 a 5.717, que los cajeros automáticos de impacto fabricados por NCR.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: