______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Обнаружены уязвимости в устройствах для оплаты в точках продаж.

Исследователи из компании Positive Technologies обнаружили уязвимость системы безопасности торговых точек, влияющую на услуги мобильных платежей по всему миру.

В четверг, во время конференции Black Hat USA, которая проходила в Лас-Вегасе, штат Невада, исследователи безопасности заявили, что уязвимости в мобильных устройствах точка-оф-продажи или mPOS может  позволить коварныx торговцев вторгнуться счета своих клиентов , чтобы украсть кредит и другую информацию платежной карты.

Исследователи Тим Юнусов и Ли-Энн Галлоуэй заявили, что хакеры могут как изменить сумму денег, взимаемую с платежной карты клиента, так и заставить своих потребителей платить другими методами, такими как Magstripe. На самом деле Magstripe легче скомпрометировать для целей извлечения данных, чем чипы.

Были обнаружены многочисленные недостатки в часто используемых мобильных PoS-сервисах. Программное обеспечение используется в мобильных считывателях платежных карт, которые стали популярными как менее дорогостоящие и альтернативные способы оплаты среди малого бизнеса, а также среднего бизнеса.

Группа безопасности обнаружила ряд уязвимостей в службах endpoint payment services. К ним относятся недостатки безопасности, которые позволяют хакерам выполнять MiTM или Man-in-the-middle подслушивание и другие атаки. Были также обнаружены уязвимости в передаче произвольного кода через мобильные приложения и приложения Bluetooth, а также возможность вмешиваться в суммы платежей, совершаемых через magstripe.

То, как работают сервисы mPOS, делает атаки возможными. Они связывают через Bluetooth к передвижным применениям которые посылают информацию к серверам провайдера компенсации. Но суммами платежей можно манипулировать, перехватывая транзакции. Кроме того, злоумышленник может получить доступ к трафику транзакций.

Галлоуэй заявил:

“В настоящее время очень мало проверок на торговцев, прежде чем они смогут начать использовать устройство mPOS, и менее скрупулезные люди могут, таким образом, по существу, украсть деньги у людей с относительной легкостью, если у них есть технические ноу-хау. Таким образом, поставщики читателей должны убедиться, что безопасность очень высока и встроена в процесс разработки с самого начала.”

Поставщики были уведомлены об этих уязвимостях, и они работают с безопасниками для исправления этих недостатков безопасности.

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх