Noll
Säkerhetshål i mobila point-of-sale (mPOS) enheter från leverantörer inklusive Square, SumUp, iZettle och PayPal har lämnats av forskare.
På torsdag på Black Hat-konferensen i Las Vegas, säkerhetsexperter från Positiva Teknik sa att sårbarheter som förekommer i mPOS maskiner möjliggör skrupelfria köpmän till raid-konton för kunder eller för angripare utifrån att stjäla kreditkortsuppgifter.
Enligt forskare Leigh-Anne Galloway och Tim Yunusov, anfallare bakom den mobila tills kunde inte bara att ändra det belopp som belastar ett kreditkort, men också att tvinga kunderna att använda andra betalningssätt, som magstripe, som också kan äventyras lättare än chips för syftet av data exfiltration.
Ett antal brister upptäcktes i populära mobila PoS-programvara. Dessa tjänster används i mobila kortläsare som har vuxit upp som ett alternativ och billigare betalning hanterare för små och medelstora företag.
Teamet upptäckte en uppsättning av sårbarheter i slutpunkten betalningssystem, inklusive säkerheten brister som tillät angripare att utföra en Mannen-i-Mitten (MiTM) avlyssning och attacker, överföring av godtycklig kod via Bluetooth och mobil-applikationer, och möjlighet att manipulera med betalning värden för magstripe transaktioner.
Dessa angripare har gjorts möjligt på grund av hur mPOS system fungerar. Dessa enheter kommunicerar via Bluetooth och mobil-appar, som sedan skickar data till betalning leverantör av servrar.
Men, genom avlyssning av transaktioner, är det möjligt att manipulera värden, samt få tillgång till affären trafik.
Dessutom angripare har även möjlighet att köra distans kod på angripna system. Forskarna säger att genom denna säkerhetsbrist, hackare kan få tillgång till den fullständiga operativsystem i en kortläsare, samt manipulera med hur ett köp ser — potentiellt ge skadliga köpmän för att ändra värden eller göra det förekommer att en transaktion har minskat.
Se även: Nigelthorn malware stjäl Facebook referenser, gruvor för cryptocurrency
“För närvarande finns det mycket få kontroller av köpmän innan de kan börja använda en mPOS enhet och mindre nogräknade personer kan därför, i huvudsak, stjäla pengar från folk med relativ lätthet om de har teknisk know-how,” Galloway sade. “Som sådan, leverantörer av läsare måste se till att säkerheten är mycket hög och är byggd i utvecklingsprocessen från början.”
De sårbarheter som har lämnats ut till de leverantörer som nämns. Positiva Teknik är att arbeta med företag för att åtgärda säkerhetsproblem.
Som rapporterats av syster sajten CNET, Torget sade att tredje part försäljning system Miura M010 Läsare, som ansluter till Torget programvara, var utsatta för angrepp.
Som ett resultat, Square har “ökat befintliga planer på att släppa support för M010 Läsare, och började övergår alla dessa Torg säljare till en ledig ruta Kontaktlös och Chip-Läsare”, enligt en talesperson för företaget.
I tillägg till betalterminalen resultat, it-företaget avslöjade också två sårbarheter, CVE-2017-17668 och CVE-2018-5717 som påverkar Uttagsautomater som tillverkas av NCR.
TechRepublic: POS 2.0 den Nya Eran av Smarta Point-of-Sale
Säkerheten brister tillåtet för angripare utifrån att utföra black box-attacker genom att ta fördel av dålig fysisk säkerhet för att äventyra nätverk och kraft Uttagsautomater för att spy ut kontanter.
NCR har släppt firmware patchar för att åtgärda säkerhetsproblem.
Tidigare och relaterade täckning
PinkKite försäljningsstället malware upptäckt i naturen Skadliga program som döljer LogMein DNS-trafik till target point of sale-system TreasureHunter källkod läckt för massorna att plundra PoS-system
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0