A mobil fizetési terminált gyártóknak is kijutott a figyelemből az idei Black Hat IT-biztonsági konferencián. A Positive Technologies két kutatója, Leigh-Anne Galloway és Tim Yunusov, hét mobil fizetési terminált vizsgáltak meg.
(fotó: Shardayyy / Flickr CC-BY)
A megtalált biztonsági rések között akad olyan, amely a mobil POS-terminál és a telefon közti bluetooth kommunikációba ékelődik be, más támadási pontok az appok hibáját használják ki. Még a mágnescsíkos levolvasás során levont összeget is át tudták írni egy eszközön.
Azzal a nagyon egyszerű kérdéssel vágtunk bele a vizsgálatba, hogy egy 50 dollárnál olcsóbb rendszerben mennyi biztonsági funckót építhetnek be?
– mondta a Wirednek Leigh-Anne Galloway. A vizsgálódást két cég két olvasójával kezdték, de gyorsan nagyobb projektté vált. Ráadásul a megtalált sebezhetőségek egyes esetekben nem is a POS-terminált értékesítő cég szoftverében van, hanem az eszközgyártótól számazó kód hibás. A Square és a PayPal termináljainak például az a fő problémája, hogy mindkét cég a Miura nevű eszközgyártó hibás kódjára épített.
A mágnescsík már nem járja? Dehogynem!
A kutatócsoport talált olyan sebezhetőséget, amely a chipes fizetési módot tiltja le a terminálban. Ha a chipes kártyák elfogadása nem működik, akkor a jóval kevésbé biztonságos mágnescsíkos módszerrel lehet fizetni. Ez pedig több további támadás előtt megnyitja a kaput. Olyan hiba is volt, egy meg nem nevezett cég termékében, amely több elutasítottnak tűnő tranzakcióval srófolja fel a végül ellopott összeget.
A helyzetet az teszi kínossá, hogy normális esetben a bank vagy a kártyatársaság fizeti az ilyen hibákból eredő kárt. A másneskártyás fizetés esetén viszont a boltot terheli a kár. A kutatók egyaránt vizsgáltak európai és amerikai beállításokkal futó olvasókat. Hibát a többségük tartalmazott, de őrületes veszélyeket csak kevés tartogat a vásárlók számára. A hibás eszközök jelenlétét minden m-POS terminált forgalmazó cég komolyan vette, vizsgálatok indultak a kutatók jelentése nyomán. Az iZettle-n kívül a többség a sajtóban is elismerte, hogy a kutatócsoport fontos sebezhetőségeket tárt fel.
Szólj hozzá