Zero
“Falle” nella sicurezza mobile point-of-sale (mPOS) dispositivi di fornitori tra cui Piazza, SumUp, iZettle, e PayPal sono stati comunicati dai ricercatori.
Giovedi alla Black Hat conference di Las Vegas, gli esperti di sicurezza di Positivo Tecnologie detto che le vulnerabilità presenti in mPOS macchine potrebbe consentire a mercanti senza scrupoli per razziare il conti dei clienti o malintenzionati per rubare i dati della carta di credito.
Secondo i ricercatori Leigh-Anne Galloway e Tim Yunusov, gli aggressori dietro il mobile fino a grado non solo di modificare l’importo addebitato sulla carta di credito, ma anche la forza ai clienti di utilizzare altri metodi di pagamento, come la banda magnetica, che può anche essere compromessa più facilmente di chip per le finalità del trattamento dei dati di esfiltrazione.
Un certo numero di difetti, sono stati scoperti nel mobile più diffusi software PoS. Questi servizi sono utilizzati in lettori di schede per cellulari che sono nate come alternativa e meno costoso di pagamento gestore per le piccole e medie imprese.
Il team ha scoperto una serie di vulnerabilità nell’endpoint sistemi di pagamento, compresi i problemi di sicurezza che ha permesso agli aggressori di eseguire Man-in-The-Middle (MiTM) le intercettazioni e gli attacchi, il trasferimento di codice arbitrario tramite Bluetooth e applicazioni mobile, e la possibilità di manomettere il pagamento di valori per magstripe transazioni.
Questi attacchi sono stati resi possibili grazie a come mPOS e dei sistemi di lavoro. Questi dispositivi di comunicare via Bluetooth con mobile, che poi invia i dati al fornitore di servizi di pagamento server.
Tuttavia, intercettando le transazioni, è possibile modificare i valori, così come accedere al traffico di transazione.
Inoltre, gli aggressori sono anche in grado di eseguire codice da remoto sui sistemi compromessi. I ricercatori dicono che attraverso questa falla di sicurezza, gli hacker possono accedere al sistema operativo completo di un lettore di schede, così come manomettere come un acquisto sembra — permettendo potenzialmente dannosi commercianti per modificare i valori o far sembrare che una transazione è stata rifiutata.
Vedi anche: Nigelthorn malware ruba Facebook credenziali, le miniere di cryptocurrency
“Attualmente ci sono pochi controlli sui commercianti, prima di poter iniziare a utilizzare un mPOS dispositivo e meno scrupoli, gli individui possono, dunque, in sostanza, di rubare i soldi dalla gente, con relativa facilità, se hanno il know-how tecnico,” Galloway ha detto. “Come tale, i fornitori di lettori hanno bisogno di assicurarsi che la sicurezza è molto alta ed è integrato nel processo di sviluppo fin dall’inizio.”
Le vulnerabilità sono stati comunicati ai fornitori menzionati. Positivo Tecnologie è lavorare con le aziende per risolvere i buchi di sicurezza.
Come riportato da suor sito CNET, Square ha detto di terze parti vendita sistema Miura M010 Lettore, che collega Piazza del software, era vulnerabile agli attacchi.
Come risultato, la Piazza ha “accelerato i piani esistenti per abbandonare il supporto per il M010 Lettore, e hanno iniziato la transizione tutti questi Square venditori di un Quadrato libero senza contatto e senza Chip del Lettore”, secondo un portavoce della società.
Oltre a mPOS risultati, la sicurezza informatica studio ha anche rivelato due vulnerabilità CVE-2017-17668 e CVE-2018-5717 che hanno un impatto Bancomat prodotto da NCR.
TechRepublic: POS 2.0 la Nuova Era delle Smart Point-of-sale
Le falle di sicurezza permesso agli aggressori di condotta scatola nera attacchi, approfittando della scarsa sicurezza fisica compromettere la rete e la forza di Bancomat a vomitare in contanti.
NCR ha rilasciato la patch del firmware per risolvere la vulnerabilità.
Precedente e relativa copertura
PinkKite punto vendita di malware individuati nel selvaggio Malware si nasconde come LogMein il traffico DNS di destinazione punto di sistemi di vendita TreasureHunter codice sorgente di perdita per le masse a saccheggiare sistemi PoS
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0