POS-urile mobile ar putea fi deturnate de hackeri
Cercetătorii în securitate au descoperit vulnerabilități care afectează cititoarele mobile POS ale Square, SumUp, PayPal și iZettle.
Cercetători în securitate Cibernetică din Marea Britanie au prezentat în cadrul conferinței de securitate cibernetică Black Hat rezultatele unei cercetări a vulnerabilităților a patru dintre cele mai populare sisteme POS mobile care sunt folosite în Europa și Marea Britanie, scrie csoonline.com.
Se crede că este cea mai cuprinzătoare analiză a securității POS-urilor mobile de până acum. Cercetătorii în securitate ai companiei londoneze Positive Technologies au analizat infrastructura mobilă de plată a șapte cititoare POS mobile oferite de Square, SumUp, PayPal și iZettle și au descoperit mai multe potențiale metode de a ataca aceste sisteme.
Într-o demonstrație pe viu care se bazează pe munca lor, Leigh-Anne Galloway și Tim Yunusov au prezentat vulnerabilitățile acestor sisteme care ar putea permite hackerilor să lanseze atacuri de tipul man-in-the-middle, să transmită coduri aleatorii prin Bluetooth sau prin intermediul aplicațiilor folosite de sistemele mobile, să modifice sumele de plată ale tranzacțiilor autorizate de cardurile cu bandă magnetică, să exploateze firmware-ul intern și altele. În plus, toate aceste exploit-uri ar fi putut fi folosite fără a putea fi detectate de tehnicile și instrumentele obișnuite folosite pentru prevenirea fraudelor.
Cercetătorii de la Positive Technologies au dezvăluit defectele de securitate descoperite producătorilor de POS-uri mobile și lucrează împreună cu aceștia pentru a elimina vulnerabilitățile. Și producătorii lucrează la închiderea acestor goluri din securitate. De când a descoperit că terminalul mobil M010 are vulnerabilități serioase, Square a eliminat suportul pentru acest tip de cititor și a început să le propună vânzătorilor să folosească o versiune mai actuală a cititorului de carduri contactless, conform unui comunicat al companiei, precizează paymentssource.com.
Spre deosebire de alte teste realizate în trecut – care se axau pe standarde mai vechi și sisteme care foloseau carduri cu bandă magnetică – acest studiu a verificat cum pot fi exploatate noile standarde de plată precum NFC și EMV, precum și hardware-ul, software-ul și procesele POS-urilor mobile.
Galloway a precizat că studiul a dorit să investigheze potențialele defecte a două sisteme de la doi producători, dar s-a extins repede. Proiectul a fost inspirat de activitatea unui grup de studenți care în 2015 a reușit să exploateze sisteme POS mobile.
