Nul
Sikkerhedshuller i mobile point-of-sale (mPOS) enheder fra leverandører, herunder Pladsen, SumUp, iZettle, og PayPal er blevet offentliggjort af forskere.
På torsdag på Black Hat-konference i Las Vegas, sikkerhed eksperter fra Positiv Teknologier, sagde, at sårbarheder, der findes i mPOS maskiner kan tillade skruppelløse forhandlere til at raid regnskaber kunder eller hackere til at stjæle kreditkort-data.
Ifølge forskere, Leigh-Anne Galloway og Tim Yunusov, angribere bag den mobile til ikke blot kunne ændre beløbet til et kreditkort, men også tvinge kunderne til at bruge andre betalingsmetoder, såsom magnetstribe, som også kan være kompromitteret lettere end chips med henblik på data exfiltration.
En række mangler, der blev afdækket i populære mobile PoS-software. Disse tjenester er brugt i mobile-kort-læsere, der er dukket op som en alternativ og billigere betaling handler for små og mellemstore virksomheder.
Holdet opdagede en række sårbarheder i endpoint betalingssystemer, herunder sikkerhed fejl, der er tilladt angribere at udføre Man-in-The-Middle (MiTM) aflytning og angreb, overførsel af vilkårlig kode via Bluetooth og mobil-applikationer, og mulighed for at manipulere med betaling værdier for magstripe transaktioner.
Disse angribere blev gjort muligt på grund af, hvordan mPOS systemer fungerer. Disse enheder kommunikerer via Bluetooth til mobil apps, som derefter sende data til betaling udbyder servere.
Men ved at opfange transaktioner, er det muligt at manipulere værdier, samt få adgang til transaktionen trafik.
Hertil kommer, at angriberne er også i stand til at eksekvere kode via fjernadgang på kompromitterede systemer. Forskerne siger, at gennem dette sikkerhedshul, som hackere kan få adgang til en fuld operativ system af en kortlæser, samt manipulere med, hvordan et køb ser — potentielt giver ondsindede handlende til at ændre værdier eller gør det ud til, at en transaktion er blevet afvist.
Se også: Nigelthorn malware, der stjæler Facebook legitimationsoplysninger, miner til cryptocurrency
“I øjeblikket er der meget få kontrol på købmænd, før de kan begynde at bruge en mPOS enhed og mindre samvittighedsfulde individer kan derfor væsentligt, stjæle penge fra folk med relativ lethed, hvis de har den tekniske know-how,” Galloway sagde. “Som sådan, udbydere af læsere er nødt til at sørge for sikkerheden er meget høj, og er bygget ind i en udviklingsproces fra begyndelsen.”
De sårbarheder der er blevet videregivet til de leverandører, der er nævnt. Positive Teknologier, der arbejder sammen med virksomheder om at løse de sikkerhedsmæssige huller.
Som rapporteret af søster-site CNET, Firkantet sagt, tredje-parts salg system Miura M010 Læser, som har forbindelse til Square ‘ s software, var sårbare over for angreb.
Som et resultat, at Pladsen er “accelereret eksisterende planer om at droppe støtte til M010 Læser, og begyndte at overføre alle disse Pladsen sælgere til en gratis Square, Kontaktløse og Chip Læser,” i henhold til et selskab talsmand.
I tillæg til den mPOS resultater, cybersecurity firma også afsløret to sårbarheder, CVE-2017-17668 og CVE-2018-5717, som påvirker Pengeautomater, der er fremstillet af NCR.
TechRepublic: POS 2.0 den Nye Æra af Smart-Point-of-Sale
De sikkerhedshuller, der er tilladt angribere at udføre sort boks angreb ved at tage fordel af dårlig fysisk sikkerhed til at gå på kompromis netværket og kraft Pengeautomater til at udspy kontanter.
NCR har frigivet firmware patches til at løse de sårbarheder.
Tidligere og relaterede dækning
PinkKite salg malware opdaget i den vilde skjuler Malware, som LogMein DNS-trafik til mål punkt for salg systemer TreasureHunter kildekode er lækket til masserne om at plyndre PoS-systemer
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0