PayPal, Vierkant kwetsbaarheden impact mobiele point-of-sale machines

0
16

Nul

Beveiligingsfouten in de mobiele point-of-sale (mPOS) apparaten van leveranciers, waaronder Plein, SumUp, iZettle en PayPal zijn bekend gemaakt door de onderzoekers.

Op donderdag tijdens de Black Hat conferentie in Las Vegas, security experts van Positieve Technologieën zei dat kwetsbaarheden in mPOS machines kan leiden gewetenloze handelaren inval te doen in de rekeningen van klanten of aanvallers te stelen van creditcard gegevens.

Volgens de onderzoekers Leigh-Anne Galloway en Tim Yunusov, aanvallers achter de mobiele totdat kon veranderen niet alleen het in rekening gebrachte bedrag met een credit card, maar ook kracht klanten gebruik maken van andere betaalmethoden, zoals de magneetstrip, die kan ook in het gedrang komen gemakkelijker dan chips voor het doel van heimelijke gegevensverplaatsing.

Een aantal fouten ontdekt in populaire mobiele PoS-software. Deze diensten worden gebruikt in mobiele kaartlezers die zijn opgegroeid als een alternatieve en minder dure betaling handler voor kleine en middelgrote bedrijven.

Het team ontdekte een set van kwetsbaarheden in het eindpunt betalingssystemen, met inbegrip van beveiligingsfouten die toegestaan aanvallers uit te voeren-Man-in-The-Middle (MiTM) afluisteren en aanvallen, de overdracht van willekeurige code via Bluetooth en mobiele applicaties, en de optie om te knoeien met de waarden van de betalingen voor magneetstrip transacties.

Deze aanvallers werden mogelijk gemaakt door de manier waarop mPOS systemen werken. Deze apparaten communiceren via Bluetooth aan de mobiele apps, die stuurt gegevens naar de payment provider servers.

Echter, door het onderscheppen van transacties, is het mogelijk om waarden te manipuleren, evenals de toegang tot transactie verkeer.

Daarnaast aanvallers zijn ook in staat om op afstand uitvoeren van code op besmette systemen. De onderzoekers zeggen dat door middel van dit lek kunnen hackers toegang krijgen tot het complete besturingssysteem van een kaartlezer, evenals knoeien met hoe een aankoop ziet er — waardoor potentieel schadelijke handelaren om de waarden te wijzigen of te laten voorkomen dat een transactie is geweigerd.

Zie ook: Nigelthorn malware steelt Facebook referenties, mijnen voor cryptocurrency

“Momenteel zijn er zeer weinig controle op de kooplieden, voordat ze kunnen beginnen met een mPOS apparaat en minder scrupuleuze personen kunnen dus in essentie, geld stelen van mensen met relatief gemak als ze beschikken over de technische know-how,” Galloway zei. “Zo, aanbieders van lezers moeten ervoor zorgen dat de veiligheid is zeer hoog en is gebouwd in de ontwikkeling vanaf het begin.”

De kwetsbaarheden zijn doorgegeven aan de leveranciers vermeld. Positieve Technologieën is het werken met de bedrijven om te repareren van de gaten in de beveiliging.

Zoals gerapporteerd door zustersite CNET, Vierkant zei derden verkoop systeem Miura M010 Lezer, dat is aangesloten op het Plein van de software, was kwetsbaar voor aanvallen.

Als een resultaat, het Plein heeft “versnelde bestaande plannen om drop ondersteuning voor de M010 Lezer, en begon de overgang al deze Vierkante verkopers op een vrij Vierkant en Contactloze Chip Reader”, aldus een woordvoerder voor het bedrijf.

Naast de mPOS bevindingen, de cybersecurity bedrijf bleek ook twee kwetsbaarheden (CVE-2017-17668 en CVE-2018-5717 die van invloed zijn Geldautomaten geproduceerd door NCR.

TechRepublic: POS 2.0 het Nieuwe Tijdperk van de Smart-Point-of-Sale

De veiligheidsproblemen toegestaan aanvallers uit te voeren black box aanvallen door gebruik te maken van een slechte fysieke beveiliging om compromissen te sluiten van het netwerk en de kracht Geldautomaten te spuwen cash.

NCR heeft vrijgegeven firmware versies voor de patches aan het adres van de kwetsbaarheden.

Vorige en aanverwante dekking

PinkKite punt van verkoop malware gespot in het wild Malware verstopt zich als LogMein DNS-verkeer naar target point of sale systemen TreasureHunter source code gelekt voor de massa ‘ s om te plunderen PoS-systemen

Verwante Onderwerpen:

Beveiliging TV

Data Management

CXO

Datacenters

0