最近、ラスベガスで開催されたブラックハット会議中に驚くべき発見がありました。. Positive Technologiesのセキュリティ研究者は、mPOSの脆弱性について報告しました (モバイルPOS) マシンを使用すると、攻撃者は顧客アカウントを乗っ取ってクレジットカードデータを盗むことができます. 影響を受けるベンダーにはSquareが含まれます, SumUp, iZettle, とPayPal.
研究者Leigh-AnneGallowayとTimYunusovによって報告されたように, 攻撃者はクレジットカードに請求される金額を変更する可能性があります. また、顧客に他の支払い方法の使用を強制するなど、他の不正行為も可能です。, 磁気ストライプのように. 後者は、データの漏えいを目的として、チップよりも簡単に侵害される可能性があります, 研究者は説明します.
モバイルPoSの脆弱性により、攻撃者は値を改ざんできます, トランザクション
調査チームは、エンドポイント決済システムのいくつかの欠陥を発見しました。そのうちのいくつかは、MiTM攻撃につながる可能性があります。. これらの欠陥の悪用に基づいて構築された他の攻撃ベクトルには、次のものがあります。 Bluetoothを介した任意のコードの転送 およびモバイルアプリ, 磁気ストライプトランザクションの改ざんと同様に.
これらの攻撃はすべて、mPoSシステムの機能が原因で発生する可能性があります。Bluetoothを介してモバイルアプリに接続し、データを決済プロバイダーのサーバーに送信します。. これらの通信を傍受することにより、値を操作し、トランザクショントラフィックへのアクセスを取得することが可能になります.
これに加えて, 攻撃者は、侵害されたホスト上でリモートでコードを実行し、カードリーダーのオペレーティングシステムへのフルアクセスを取得する可能性があります. これらの脆弱性に基づく悪意のある活動のリストはかなり長いです. 攻撃者は購入を変更することもできます, それらの値を変更する または、一部のトランザクションを拒否されたように見せます.
研究者の一人, リーアンギャロウェー, それを説明した:
現在、マーチャントがmPOSデバイスの使用を開始する前にチェックすることはほとんどなく、あまり賢明でない個人は, したがって, 本質的に, 技術的なノウハウがあれば、比較的簡単にお金を盗む. そのような, 読者のプロバイダーは、セキュリティが非常に高く、最初から開発プロセスに組み込まれていることを確認する必要があります.
mPoSの脆弱性に加えて, 研究者 他に2つの脆弱性も報告されています, CVE-2017-17668およびCVE-2018-5717として識別, NCRによって製造されたATMに影響を与える.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: