En alarmerende opdagelse blev for nylig foretaget i løbet af Black Hat konferencen i Las Vegas. Sikkerhed forskere fra Positive Technologies rapporterede, at sårbarheder i MPO'er (mobil Point-of-Sale) maskiner tillader angribere at overtage kundekonti og stjæle kreditkortdata. Påvirkede leverandører omfatter Square, SumUp, iZettle, og PayPal.
Som rapporteret af forskere Leigh-Anne Galloway og Tim Yunusov, angriberne kunne ændre beløb, der opkræves til et kreditkort. De er også i stand til andre ugerninger såsom at tvinge kunder til at bruge andre betalingsmetoder, ligesom magstripe. Sidstnævnte kan kompromitteres lettere end chips med henblik på data udsivning, forskere forklare.
Mobil PoS Sårbarheder Tillad Angribere at manipulere med værdier, Transaktioner
Forskerholdet afdækket en række mangler i endpoint betalingssystemer hvoraf nogle kunne føre til MITM angreb. Andre angrebsvektorer bygget på udnytte disse mangler indbefatter overførsel af vilkårlig kode via Bluetooth og mobile apps, samt manipulation med magnetstribe transaktioner.
Alle disse angreb er muligt på grund af den måde, MPOS systemer fungerer - via Bluetooth til at forbinde til mobile apps og derefter sende data til betaling udbyder servere. Ved at opfange disse meddelelser bliver det muligt at manipulere værdier og få adgang til transaktionen trafik.
Oven i købet, angribere kan fjernstyre eksekvere kode på kompromitterede værter og få fuld adgang til operativsystemer kortlæsere. Listen over ondsindede aktiviteter baseret på disse sårbarheder er temmelig lang. Angribere kan også ændre indkøb, ændre deres værdier eller gøre nogle transaktioner ligne de er blevet afvist.
En af forskerne, Leigh-Anne Galloway, forklarede, at:
I øjeblikket er der meget få kontrol af handlende, før de kan begynde at bruge et MPO'erne enhed og mindre samvittighedsfulde individer kan, derfor, væsentlige, stjæle penge fra folk med relativ lethed, hvis de har den tekniske know-how. Som sådan, udbydere af læserne skal sørge for sikkerhed er meget høj og er bygget i udviklingsprocessen fra begyndelsen.
Ud over de MPO'er sårbarhed, forskerne også rapporteret to andre svagheder, identificeret som CVE-2017-17.668 og CVE-2018-5717, der har indflydelse på pengeautomater fremstillet af NCR.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: