Uma descoberta alarmante foi feita recentemente durante a conferência Black Hat, realizada em Las Vegas. Pesquisadores de segurança de Tecnologias positivos relatou que as vulnerabilidades em SOMP (móvel Point-of-Sale) máquinas permitem que invasores assumam contas de clientes e roubem dados de cartão de crédito. Os fornecedores afetados incluem Square, SumUp, iZettle, e PayPal.
Conforme relatado pelos pesquisadores Leigh-Anne Galloway e Tim Yunusov, invasores podem alterar o valor cobrado em um cartão de crédito. Eles também são capazes de outros crimes, como forçar os clientes a usar outros métodos de pagamento, como tarja magnética. Este último pode ser comprometido mais facilmente do que os chips para fins de exfiltração de dados, pesquisadores explicam.
Vulnerabilidades de PoS móveis permitem que invasores adulterem valores, Transações
A equipe de pesquisa descobriu várias falhas nos sistemas de pagamento de terminais, algumas das quais podem levar a ataques MiTM. Outros vetores de ataque construídos na exploração dessas falhas incluem a transferência de código arbitrário via Bluetooth e aplicativos móveis, bem como adulterar transações de tarja magnética.
Todos esses ataques são possíveis devido à forma como os sistemas mPoS funcionam – via Bluetooth para conectar-se a aplicativos móveis e enviar os dados para servidores de provedores de pagamento. Ao interceptar essas comunicações torna-se possível manipular valores e obter acesso ao tráfego de transações.
Além do mais, os invasores podem executar remotamente o código em hosts comprometidos e obter acesso total aos sistemas operacionais dos leitores de cartão. A lista de atividades maliciosas com base nessas vulnerabilidades é bastante longa. Os invasores também podem alterar as compras, mudar seus valores ou fazer com que algumas transações pareçam ter sido recusadas.
Um dos pesquisadores, Leigh Anne Galloway, explicou que:
Atualmente, há muito poucas verificações nos comerciantes antes que eles possam começar a usar um dispositivo mPOS e indivíduos menos escrupulosos podem, Portanto, essencialmente, roubar dinheiro de pessoas com relativa facilidade se elas tiverem o conhecimento técnico. Assim sendo, os provedores de leitores precisam garantir que a segurança seja muito alta e esteja incorporada ao processo de desenvolvimento desde o início.
Além das vulnerabilidades mPoS, Os pesquisadores também relatou duas outras vulnerabilidades, identificado como CVE-2017-17668 e CVE-2018-5717, que impactam os caixas eletrônicos fabricados pela NCR.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: