`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Что для вас является метрикой простоя серверной инфраструктуры?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

В мобильных POS-терминалах обнаружены опасные уязвимости

0 
 

В мобильных POS-терминалах обнаружены опасные уязвимости

На конференции Black Hat в США исследователи Positive Technologies рассказали о серьезных недостатках безопасности в мобильных POS-терминалах (mPOS), благодаря которым мошенники могут вмешаться в процесс оплаты – изменить сумму или вынудить покупателя использовать менее надежные методы проведения транзакции, например, по магнитной полосе. Уязвимости были обнаружены в mPOS ведущих производителей Европы и США – Square, SumUp, iZettle и PayPal.

Терминалы mPOS позволяют принимать к оплате банковские карты везде, где есть сотовая связь, с помощью смартфона или планшета и мобильного приложения поставщика платежных услуг. Во многих современных моделях связь между mPOS и смартфоном (планшетом) осуществляется по протоколу Bluetooth.

Как выяснили исследователи, недобросовестный продавец может получить доступ к Bluetooth-трафику и изменить сумму, которая до этого отображалась на mPOS, а покупатель, сам того не зная, подтвердит оплату на совершенно другую сумму. Для этого транзакция должна верифицироваться магнитной полосой. Однако, по данным EMVCo, в странах СНГ более 90% транзакций осуществляются с помощью чипа. Тем не менее, пользователи могут воспользоваться картами с магнитной полосой в странах, где такой вид мошенничества более актуален: к примеру, в США и странах Азии доля транзакций с помощью чипа составляет 41 и 54% соответственно.

В ряде mPOS присутствовала уязвимость, которая приводит к удаленному выполнению кода (Remote Code Execution, RCE). Ее эксплуатация позволяет получить полный контроль над операционной системой устройства, считывающего данные банковской карты. Недобросовестный продавец может собирать данные с магнитной полосы или чипа для создания клона карты. Также при наличии определенных навыков у злоумышленника существует возможность перехвата PIN-кода с чиповой карты. Более того, мошенничество с помощью mPOS может произойти и со стороны недобросовестного покупателя. Имитируя оплату по карте, злоумышленник может подключить свое зловредное устройство – смартфон или ноутбук к данному терминалу, заразить его вредоносным ПО и в дальнейшем собирать данные с карт других пользователей, расплачивающихся с помощью этого mPOS.

Кроме того, на некоторых mPOS была выявлена возможность отправки специальных команд, которые могут использоваться в целях мошенничества и влиять на действия покупателя. Неблагонадежный продавец может, например, вынудить покупателя использовать менее защищенный способ оплаты (через магнитную полосу карты) или сказать, что платеж отклонен, заставив его таким образом произвести оплату еще раз.

Компания Positive Technologies проинформировала поставщиков и производителей уязвимых терминалов mPOS и оказывает им содействие в устранении обнаруженных проблем.


Вы можете подписаться на наш Telegram-канал для получения наиболее интересной информации

0 
 

Напечатать Отправить другу

Читайте также

 
 
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT