Een alarmerende ontdekking werd onlangs tijdens de Black Hat conferentie in Las Vegas. Beveiliging onderzoekers van Positive Technologies meldde dat kwetsbaarheden in mPOS (mobiele Point-of-Sale) machines aanvaller toelaten dan de rekeningen van klanten te nemen en te stelen credit card gegevens. Getroffen leveranciers zijn Square, SumUp, iZettle, en PayPal.
Zoals gemeld door onderzoekers Leigh-Anne Galloway en Tim Yunusov, aanvallers kon de ten laste van een credit card vermelde bedrag te wijzigen. Ze zijn ook in staat om andere misdaden, zoals dwingen klanten om andere betaalmethoden te gebruiken, zoals magstripe. Laatstgenoemde kan gemakkelijker worden aangetast dan chips behoeve van data exfiltratie, onderzoekers verklaren.
Mobile PoS beveiligingslekken Laat Aanvallers te knoeien met Waarden, transacties
Het onderzoeksteam bracht een aantal gebreken in de betalingssystemen eindpunt waarvan sommige kunnen leiden tot MITM aanvallen. Andere aanvalsvectoren gebouwd op het benutten van deze gebreken omvatten de overdracht van willekeurige code via Bluetooth en mobiele apps, evenals het knoeien met magstripe transacties.
Al deze aanvallen zijn mogelijk dankzij de functie weg mPOS systemen - via Bluetooth verbinding te maken met mobiele apps en vervolgens de gegevens naar payment provider servers te sturen. Door het onderscheppen van deze communicatie wordt het mogelijk om waarden te manipuleren en het verkrijgen van toegang tot de transactie verkeer.
Op de top van deze, aanvallers kunnen op afstand code uit te voeren op de gecompromitteerde gastheren en volledige toegang krijgen tot het besturingssysteem van kaartlezers. De lijst van kwaadaardige activiteiten op basis van deze kwetsbaarheden is vrij lang. Aanvallers kunnen ook veranderen aankopen, hun waarden veranderen of maak bepaalde transacties eruit zien alsof ze hebben geweigerd.
Een van de onderzoekers, Leigh-Anne Galloway, uitgelegd dat:
Momenteel zijn er zeer weinig controle op de handelaren voordat ze kunnen beginnen met een mPOS apparaat en minder scrupuleuze individuen kunnen, daarom, in wezen, stelen geld van mensen met relatief gemak als ze de technische know-how. Als zodanig, aanbieders van lezers moeten ervoor zorgen dat de veiligheid is zeer hoog en is gebouwd in het ontwikkelingsproces van het eerste uur.
In aanvulling op de mPOS kwetsbaarheden, de onderzoekers meldde ook twee andere kwetsbaarheden, geïdentificeerd als CVE-2017-17.668 en CVE-2018-5717, dit effect geldautomaten vervaardigd door NCR.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: