آسیبپذیریهایی در دستگاههای موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal به مهاجمان اجازه سرقت اطلاعات کاربران را میدهد.
منبع : مرکز مدیریت راهبردی افتا
آسیبپذیریهایی در دستگاههای موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal به مهاجمان اجازه سرقت اطلاعات کاربران را میدهد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، کارشناسان امنیتی آسیبپذیریهایی را در دستگاههای موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal کشف کردند که میتوانند توسط فروشندگان و مهاجمان برای سرقت حسابهای کاربران و اطلاعات کارتهای اعتباری آنها مورد سوءاستفاده قرار گیرند.
طبق گفته پژوهشگران، مهاجمان نه فقط میتوانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه میتوانند مشتریان را وادار کنند تا از سایر روشهای پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسانتر شود. سرویسهای موبایل POS در کارتخوانهای موبایلی استفاده شدهاند و به عنوان راهحلی جانبی و ارزانتر برای کسبوکارهای کوچک و متوسط به منظور پرداخت در نظر گرفته میشوند.
مجموعهای از آسیبپذیریها در سیستمهای پرداخت آنها کشف شدهاست، از قبیل نقصهای امنیتی که به مهاجمان اجازه میدهد تا حملاتی از نوع مردی در میانه (MiTM) را انجام دهند، انتقال کد دلخواه از طریق Bluetooth و برنامههای موبایلی و گزینهای برای مداخله در مقادیر پرداخت تراکنشهای magstripe.
این دستگاهها از طریق Bluetooth با برنامههای موبایلی ارتباط برقرار میکنند تا دادهها را به سرورهای ارائه دهنده سرویس پرداخت ارسال کنند. مهاجم میتواند با مداخله در تراکنشها، مقادیر را دستکاری و به ترافیک تراکنشها دسترسی یابد. پژوهشگران نقصها را به سازندگانی که به آنها اشاره شد، ارسال کردهاند تا مشکلات را رفع کنند.
علاوهبر آسیبپذیریهای کشف شده در موبایل POSها، دو آسیبپذیری دیگر، CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷، نیز کشف شدهاند که ATMهای تولید شده توسط NCR را تحت تاثیر قرار میدهند. این نقصهای امنیتی به مهاجمین اجازه میدهد تا حملات جعبه سیاه را با بهرهگیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاههای خودپرداز انجام دهند. NCR وصلههایی برای رفع آسیبپذیریها منتشر کردهاست.