آسیب‌پذیری در دستگاه‌های موبایل POS

به گزارش کارگروه امنیت سایبربان؛ طبق گفته پژوهشگران، مهاجمین نه تنها می‌توانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه می‌توانند مشتریان را وادار کنند تا از سایر روش‌های پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسان‌تر شود. سرویس‌های موبایل POS در کارت‌خوان‌های موبایلی استفاده شده‌اند و به عنوان راه‌حلی جانبی و ارزان‌تر برای کسب‌و‌کارهای کوچک و متوسط به منظور پرداخت در نظر گرفته می‌شوند.
مجموعه‌ای از آسیب‌پذیری‌ها در سیستم‌های پرداخت آن‌ها کشف شده است، از قبیل، نقص‌های امنیتی که به مهاجمین اجازه می‌دهد تا حملاتی از نوع مردی در میانه (MiTM) را انجام دهند، انتقال کد دلخواه از طریق Bluetooth و برنامه‌های موبایلی و گزینه‌ای برای مداخله در مقادیر پرداخت تراکنش‌های magstripe.
این دستگاه‌ها از طریق Bluetooth با برنامه‌های موبایلی ارتباط برقرار می‌کنند تا داده‌ها را به سرورهای ارائه دهنده سرویس پرداخت ارسال کنند. مهاجم می‌تواند با مداخله در تراکنش‌ها، مقادیر را دستکاری و به ترافیک تراکنش‌ها دسترسی یابد. پژوهشگران نقص‌ها را به سازندگانی که به آنها اشاره شد، ارسال کرده‌اند تا مشکلات را رفع کنند.
علاوه بر آسیب‌پذیری‌های کشف شده در موبایل POSها، دو آسیب‌پذیری دیگر، CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷، نیز کشف شده‌اند که ATMهای تولید شده توسط NCR را تحت تاثیر قرار می‌دهند. این نقص‌های امنیتی به مهاجمین اجازه می‌دهد تا حملات جعبه سیاه را با بهره‌گیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاه‌های خودپرداز انجام دهند. NCR وصله‌هایی برای رفع آسیب‌پذیری‌ها منتشر کرده است.