به گزارش خبرگزاری مهر به نقل از مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، کارشناسان امنیتی آسیبپذیریهایی را در دستگاههای موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal کشف کردند که میتوانند توسط فروشندگان و مهاجمان برای سرقت حسابهای کاربران و اطلاعات کارتهای اعتباری آنها مورد سوءاستفاده قرار گیرند.
طبق گفته پژوهشگران، مهاجمان نه تنها میتوانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه میتوانند مشتریان را وادار کنند تا از سایر روشهای پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسانتر شود.
سرویسهای موبایل POS در کارتخوانهای موبایلی استفاده شدهاند و به عنوان راهحلی جانبی و ارزانتر برای کسبوکارهای کوچک و متوسط به منظور پرداخت در نظر گرفته میشوند. این دستگاهها از طریق بلوتوث با برنامههای موبایلی ارتباط برقرار میکنند تا دادهها را به سرورهای ارائه دهنده سرویس پرداخت ارسال کنند.
بررسی ها نشان می دهد که مجموعهای از آسیبپذیریها در سیستمهای پرداخت این سرویسها کشف شده است. برای مثال نقصهای امنیتی که به مهاجمان اجازه میدهد تا حملاتی از نوع مردی در میانه (MiTM) را انجام دهند و گزینه ای برای مداخله در مقادیر پرداخت تراکنش ها و انتقال کد دلخواه از طریق بلوتوث و برنامههای موبایلی ایجاد کنند.
مهاجم میتواند با مداخله در تراکنشها، مقادیر را دستکاری و به ترافیک تراکنشها دسترسی یابد.
پژوهشگران نقصها را به سازندگان دستگاههای pos که به آنها اشاره شد، ارسال کردهاند تا مشکلات را رفع کنند.
علاوه بر آسیبپذیریهای کشف شده در دستگاههای کارتخوان موبایلی (موبایل POSها)، دو آسیبپذیری دیگر شامل CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷، نیز کشف شدهاند که ATMهای تولید شده توسط کمپانی NCR را تحت تاثیر قرار میدهند.
این نقصهای امنیتی به مهاجمان اجازه میدهد تا حملات جعبه سیاه را با بهرهگیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاههای خودپرداز انجام دهند. البته NCR وصلههایی برای رفع آسیبپذیریهای اعلام شده، منتشر کرده است.