Eine alarmierende Entdeckung wurde vor kurzem während der Black-Hat-Konferenz in Las Vegas gemacht. Sicherheitsforscher von Positive Technologies berichtet, dass Schwachstellen in mPOS (Mobile Point-of-Sale) Maschinen ermöglichen es Angreifern über Kundenkonten zu übernehmen und Kreditkartendaten stehlen. Betroffene Anbieter umfassen Platz, SUMUP, iZettle, und PayPal.
Wie von den Forschern Leigh-Anne Galloway und Tim Yunusov berichtet, Angreifer könnten den Betrag auf eine Kreditkarte abgebucht ändern. Sie sind auch in der Lage anderer Untaten wie Kunden zwingen, andere Zahlungsmethoden anwenden, wie magstripe. Dieser kann zum Zweck der Daten exfiltration als Chips beeinträchtigt wird leichter, Forscher erklären.
Mobile PoS Schwachstellen können Angreifer mit Werten Tamper, Transaktionen
Das Forscherteam entdeckte eine Reihe von Fehlern in Endpunktzahlungssystemen, von denen einige zu MiTM Angriffen führen könnte. Andere Angriffsvektoren auf den Exploit dieser Mängel gebaut sind Die Übertragung von beliebigem Code über Bluetooth und mobile Anwendungen, sowie mit magstripe Transaktionen Manipulation.
All diese Angriffe sind möglich aufgrund der Funktion Art und Weise mPOS Systeme - über Bluetooth an mobilen Anwendungen zu verbinden und die Daten dann an Payment Provider-Server senden. Durch diese Mitteilungen abfangen wird es möglich, Werte zu manipulieren und erhält Zugang zu Transaktionsverkehr.
Am Anfang dieses, Angreifer können aus der Ferne Code auf kompromittierten Rechner ausführen und vollen Zugriff auf die Betriebssysteme von Kartenlesern gewinnen. Die Liste der bösartigen Aktivitäten auf diesen Schwachstellen basieren ist ziemlich lang. Angreifer können auch Einkäufe ändern, ändern ihre Werte oder einige Transaktionen so aussehen, wie sie abgelehnt wurden.
Einer der Forscher, Leigh-Anne Galloway, erklärte, dass:
Momentan gibt es nur sehr wenige Kontrollen Händler, bevor sie beginnen können, kann ein mPOS Gerät und weniger Skrupel Personen mit, deshalb, im Wesentlichen, stehlen Geld von den Leuten mit relativer Leichtigkeit, wenn sie über das technische Know-how. So wie, Anbieter von Lesern müssen sicher Sicherheit ist sehr hoch machen und in den Entwicklungsprozess von Anfang an gebaut.
Zusätzlich zu den mPOS Anfälligkeiten, die Forscher auch berichtet, zwei weitere Schwachstellen, identifiziert als CVE-2.017-17.668 und CVE-2.018-5.717, dass Auswirkungen Geldautomaten von NCR hergestellt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: