Una scoperta allarmante è stato recentemente fatto durante la conferenza Black Hat tenutasi a Las Vegas. I ricercatori di sicurezza da Positive Technologies ha riferito che le vulnerabilità in MPos (mobili Point-of-Sale) macchine consentono agli aggressori di prendere in consegna i conti dei clienti e rubare dati delle carte di credito. fornitori interessati includono: Piazza, SumUp, iZettle, e PayPal.
Come riportato dai ricercatori Leigh-Anne Galloway e Tim Yunusov, attaccanti potrebbero alterare l'importo addebitato ad una carta di credito. Essi sono anche in grado di altri misfatti come costringendo i clienti ad usare altri metodi di pagamento, come banda magnetica. Quest'ultimo può essere compromesso più facilmente chip a scopo di exfiltration dati, ricercatori spiegano.
Cellulare PoS vulnerabilità permettere ai pirati di manomettere i valori, Le transazioni
Il team di ricerca ha scoperto un certo numero di difetti nei sistemi di pagamento endpoint alcuni dei quali potrebbero portare ad attacchi MITM. Altri vettori di attacco costruite sul exploit di questi difetti sono il trasferimento di codice arbitrario tramite Bluetooth e applicazioni mobili, così come la manomissione transazioni banda magnetica.
Tutti questi attacchi sono possibili grazie alla funzione sistemi MPos vie - via Bluetooth per connettersi ad applicazioni per cellulari e poi inviare i dati ai server del provider di pagamento. Con intercettare queste comunicazioni diventa possibile manipolare i valori e ottenere l'accesso al traffico di transazione.
In cima a questa, gli aggressori possono eseguire da remoto codice su host compromessi e ottenere pieno accesso ai sistemi operativi di lettori di schede. L'elenco delle attività dannose sulla base di queste vulnerabilità è piuttosto lungo. Gli aggressori possono anche alterare gli acquisti, modificarne i valori o fare alcune operazioni sembrano essere stati diminuiti.
Uno dei ricercatori, Leigh-Anne Galloway, ha spiegato che:
Attualmente ci sono pochissimi controlli i commercianti prima di poter iniziare a utilizzare un dispositivo MPos e meno scrupolosi individui possono, pertanto, essenzialmente, rubare i soldi da persone con relativa facilità se hanno il know-how tecnico. Come tale, i fornitori di lettori hanno bisogno di assicurarsi che la sicurezza è molto alto ed è costruito nel processo di sviluppo fin dall'inizio.
Oltre ai MPos vulnerabilità, i ricercatori inoltre segnalato altri due vulnerabilità, identificato come CVE-2.017-17.668 e CVE-2018-5717, che gli sportelli automatici di impatto prodotti da NCR.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: