Une découverte inquiétante a été faite récemment lors de la conférence Black Hat tenue à Las Vegas. Les chercheurs en sécurité de Positive Technologies ont signalé que les vulnérabilités dans mPOS (mobile Point de vente) machines permettent aux pirates de prendre en charge les comptes clients et voler des données de carte de crédit. les fournisseurs concernés comprennent la place, SumUp, iZettle, et PayPal.
Tel que rapporté par les chercheurs Leigh-Anne Galloway et Tim Yunusov, les attaquants pourraient modifier le montant facturé à une carte de crédit. Ils sont également capables d'autres mauvaises actions telles que forcer les clients à utiliser d'autres méthodes de paiement, comme magstripe. Ce dernier peut être compromis plus facilement que les puces aux fins de l'exfiltration de données, chercheurs expliquent.
Mobile PoS vulnérabilités permettent aux pirates de falsifier les valeurs, Transactions
L'équipe de recherche a découvert un certain nombre de défauts dans les systèmes de paiement de point de terminaison dont certains pourraient conduire à des attaques MITM. D'autres vecteurs d'attaque construits sur l'exploitation de ces défauts comprennent le transfert d'un code arbitraire par l'intermédiaire de Bluetooth et les applications mobiles, ainsi que la falsification des transactions de bande magnétique.
Toutes ces attaques sont possibles grâce à la fonction mPOS façon de systèmes - via Bluetooth pour se connecter à des applications mobiles, puis envoyer les données aux serveurs de fournisseur de paiement. En interceptant ces communications, il devient possible de manipuler des valeurs et d'obtenir l'accès à la circulation des transactions.
En plus de cela, les attaquants peuvent exécuter à distance du code sur les hôtes compromis et obtenir un accès complet aux systèmes d'exploitation des lecteurs de cartes. La liste des activités malveillantes sur la base de ces vulnérabilités est assez longue. Les pirates peuvent également modifier les achats, modifier leurs valeurs ou faire des transactions ressemblent, ils ont été diminué.
L'un des chercheurs, Leigh-Anne Galloway, a expliqué que:
À l'heure actuelle, il y a très peu de contrôles sur les commerçants avant de pouvoir commencer à utiliser un dispositif de personnes mPOS et moins scrupuleux peut, donc, essentiellement, voler l'argent des gens avec une relative facilité si elles ont le savoir-faire technique. En tant que tel, les fournisseurs de lecteurs ont besoin de faire de la sécurité vous est très élevé et est intégré dans le processus de développement dès le début.
En plus des vulnérabilités de mPOS, les chercheurs a également signalé deux autres vulnérabilités, identifié comme CVE-2017-17668 et CVE-2018-5717, que les distributeurs automatiques de billets d'impact fabriqués par NCR.