Терминалы для оплаты покупок опасно уязвимы

Специалисты, исследующие информбезопасность, сообщили об обнаружении уязвимостей в мобильных терминалах оплаты. Как следует из доклада конференции Black Hat, злоумышленникам несложно взломать их для получения доступа к конфиденциальной информации карт покупателей.

Экспертами были протестированы терминалы 4-х поставщиков, получивших широкое распространение в США и Европе: SumUp, Paypal, Square и iZettle. Уязвимость портативных устройств оплаты этих фирм способствует перехвату соединения преступниками.

"Благодаря" уязвимостям, хакерам доступно совершение MITM-атак (Man-In-The-Middle, «человек посередине»), когда они могут вмешаться в связь между продавцом и покупателем, которые и знать об этом не будут. Злоумышленниками может быть изменена сумма, снимаемая со счета покупателя, а также считывание ПИН-кода для того, чтобы использовать данные карты в своих целях.

Основная мишень таких атак - покупатели, которые совершают небольшие платежи, так как у механизма их оплаты недостаточная защита. По мнению исследователей, такого рода атаки будут размножаться - ведь терминалы оплаты установлены в торговых точках во многих странах мира.

Немного раньше эксперты Positive Technologies известили об обнаружении уязвимостей в банкоматах NCR. Проблема была в том, что хакерам не составляло труда установить на контроллер диспенсера (сейфовая части банкомата для выдачи купюр) устаревшее и плохо защищенное программное обеспечение, при этом ими использовалась технология Black Box. если говорить более конкретно - хакерам было доступно подключение одноплатного компьютера к диспенсеру с использованием недостатков защиты сервисной зоны банкомата, и отправка команды на снятие наличных. Появление уязвимостей эксперты объясняют недостаточным защитным механизмом записи памяти в моделях диспенсеров — S1 и S2.