حفره های بحرانی در دستگاه های POS

محققان نشان دادند كه چگونه می توان با استفاده از كارت های هوشمند برنامه ریزی شده، دستگاه های POS تلفن همراه را در معرض خطر قرار داد.

روز پنج شنبه محققان امنیتی نشان دادند كه چگونه حفره های امنیتی به مهاجمان اجازه می دهند تا كنترل دستگاه های mPOS را در اختیار بگیرند. در صورتی كه از ماه آوریل این حفره اصلاح شده است اما هم چنان برخی از دستگاه ها نسبت به این حفره آسیب پذیر می باشند.

Jon Butler، مدیر تحقیقات MWR InfoSecurity و یكی از همكارانش، شش دستگاه mPOS معروف را كه در فروشگاه ها استفاه می شود و استاندارد EMV را پشتیبانی می كنند، مورد بررسی قرار دادند. این دستگاه ها دارای صفحه نمایش كوچك، یك كارت خوان و یك صفحه وارد كردنPIN  كد می باشند. آن ها یك سیستم عامل مبتنی بر لینوكس را اجرا می كنند و با برنامه های كاربردی پرداخت تلفن همراه كه بر روی گوشی های هوشمند نصب می شوند، از طریق بلوتوث ارتباط برقرار می كنند.

محققان MWR دریافتند كه علیرغم آن كه این دستگاه ها در ظاهر متفاوت به نظر می رسند اما 75 درصد از آن ها از پلتفرمی یكسان استفاده می كنند.

آن ها در برخی از این دستگاه ها آسیب پذیری هایی در مكانیزم به روز رسانی سفت افزار پیدا كرده اند كه به آن ها اجازه می دهد تا دستوراتی را به عنوان root اجرا نمایند. هم چنین یك آسیب پذیری سرریز بافر مبتنی بر پشته را در كتابخانه EMV پیدا كردند كه به آن ها اجازه می دهد تا كنترل كامل تمامی دستگاه هایی كه از یك كارت هوشمند برنامه ریز شده خاص استفاده می كنند را بدست آورند. در حال حاضر برخی از این دستگاه ها هم چنان آسیب پذیر می باشند.

به منظور اثبات این ادعا محققان از یك كارت جعلی برای نصب و اجرای برنامه ای مشابه Flappy Bird بر روی دستگاه ها استفاده كردند.

در سناریوی عملیاتی حمله، یك كلاهبردار می تواند به فروشگاهی كه از این دستگاه ها استفاده می كند برود و وانمود كند می خواهد چیزی بخرد، كارت جعلی خود را وارد دستگاه نماید و با یك كد از جزئیات كارت و شماره PIN مشتریانی كه قبلا از این دستگاه استفاده كردند تصویربردای كند.

علیرغم آن كه بسیاری از دستگاه های آلوده دارای قابلیت به روز رسانی از راه دور سفت افزار می باشند، برخی از تولدكنندگان، هم چنان به روز رسانی های حاوی اصلاح كتابخانه EMV را منتشر نكرده اند.

این محققان تمامی بردارهای حمله را به طور كامل مورد بررسی قرار نداده اند اما بر این باور هستند این امكان وجود دارد كه بتوان امنیت دستگاه های mPOS را از طریق یك گوشی هوشمند آلوده به بدافزار به خطر انداخت.

با وجود این یافته ها، Butler معتقد است كه امنیت دستگاه های POS تلفن همراه نسبت به دستگاه های سنتی POS بیشتر است.

درباره پارسینگ

تیم امنیت وب و تحقیقات سایبری پارسینگ با هدف اطلاع رسانی، آموزش، مشاوره، ایمن سازی و تحقیقات در حوزه امنیت سایبری در سال 1391 توسط مهندس علی اصغر جعفری لاری تاسیس گردید تا علاوه بر اهدافی همچون بالا بردن آگاهی کاربران عمومی نسبت به امنیت، مشاوره و ایمن سازی وبسایت های داخلی برای دفاع در برابر تهاجمات بیگانگان و ارائه تحقیقات سایبری روشن و شفاف برای تحقیق و توسعه پروژه ها توسط دانش پژوهان، بتواند با کسب رضایت و اعتماد مشتریان خود به عنوان یک تیم برتر در حوزه امنیت سایبری در ایران شناخته شود.  

تماس با ما

تهران، اقدسیه، میدان ازگل، کوچه نوبهار، بن بست همیشه بهار، پلاک سوم

info[at]parsing[dot]ir

22196283 21 (98)

9120268477 (98)

پارسینگ را در گوگل محبوب کنید: