Sikkerhedsforskere Aleksei Stennikov og Timur Yunusov afslørede for nylig sårbarheder i to af de største producenter af salgsstedet (PoS) enheder - Verifone og Ingenico.
Sårbarhederne præsenteret under Black Hat Europe 2020 kunne have gjort det muligt for cyberkriminelle at stjæle kreditkortdata, klonterminaler, og udføre andre former for økonomisk svindel. Både købere og detailhandlere kan blive berørt. Mere specifikt, berørte enheder inkluderer Verifone VX520, Verifone MX-serie, og Ingenico Telium 2 serie.
Sårbarhederne blev oplyst til sælgerne, og patches er nu tilgængelige. Men, det kan tage tid, før alle involverede parter anvender programrettelserne.
Verifone og Ingenico PoS sårbarheder beskrevet
En af fejlene i PoS-enhederne fra de to producenter tillod brugen af standardadgangskoder, som kunne give hackere adgang til en servicemenu. Når opnået, denne adgang kunne sætte dem i stand til at manipulere maskinerne’ kode for at køre ondsindede kommandoer. Nogle af sårbarhederne har været der i mindst et årti, og andre for op 20 år. De ældre mangler er for det meste placeret i ældre elementer, der ikke længere er i brug.
Hvordan kan hackere udnytte PoS-bugs? En måde er gennem fysisk adgang til en sårbar PoS-terminal. Hvis dette ikke er muligt, adgang kan opnås eksternt via Internettet. Enten måde, hackere sigter mod at udføre vilkårlig kodeudførelse, bufferoverløbsangreb, og enhver anden ondsindet teknik, der sikrer optrapning af privilegier og admin kontrol. Det endelige formål, selvfølgelig, er at stjæle økonomiske data.
Hvordan kan man få fjernadgang til et netværk? Gennem phishing eller en anden type angreb, der åbner porten til netværket og PoS-enheden. PoS-enheder er computere, og hvis de er forbundet til netværket og internettet, cyberkriminelle kan forsøge at få adgang ligesom i et almindeligt computerangreb. Angribere kan endda få adgang til ukrypterede kortdata, inklusive Track2 og PIN-oplysninger, som kunne hjælpe dem med at stjæle og klone betalingskort.
Af sikkerhedsmæssige årsager, det anbefales stærkt, at detailhandlere opbevarer PoS-enheder på et andet netværk. Hvis angribere får adgang til netværket via et Windows-system, det ville være sværere for dem at nå PoS-terminalerne.
Både Verifone og Ingenico har bekræftet deres kendskab til sårbarhederne. En patch er allerede frigivet for at forhindre angreb. Der er ingen oplysninger om de mangler, der udnyttes i naturen. Flere detaljer findes i forskerne’ rapport.
I 2018, Positive teknologiforskere rapporterede sårbarheder i mPoS (mobil salgssted) enheder, der påvirker leverandørernes firkant, SumUp, iZettle, og PayPal. Opdagelsen blev også annonceret under Black Hat-konferencen. Angribere kunne ændre det beløb, der opkræves på et kreditkort, eller tvinge kunder til at bruge andre betalingsmetoder, ligesom magstripe.