آسیب پذیری در کارتخوان های موبایلی کشف شد؛ دستکاری مبلغ تراکنش های بانکی!

به گزارش کلیک به نقل از مهر؛ کارشناسان امنیتی آسیب‌ پذیری‌ هایی را در دستگاه‌ های موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal کشف کردند که می‌ توانند توسط فروشندگان و مهاجمان برای سرقت حساب‌ های کاربران و اطلاعات کارت‌ های اعتباری آنها مورد سوء استفاده قرار گیرد.

طبق گفته پژوهشگران، مهاجمان نه تنها می‌ توانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه می‌ توانند مشتریان را وادار کنند تا از سایر روش‌ های پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسان‌ تر شود.

سرویس‌ های موبایل POS در کارت خوان های موبایلی استفاده شده‌ اند و به عنوان راه‌ حلی جانبی و ارزان‌ تر برای کسب‌ و کارهای کوچک و متوسط به منظور پرداخت در نظر گرفته می‌ شوند. این دستگاه‌ ها از طریق بلوتوث با برنامه‌ های موبایلی ارتباط برقرار می‌ کنند تا داده‌ ها را به سرورهای ارائه دهنده سرویس پرداخت ارسال کنند.

بررسی ها نشان می دهد که مجموعه‌ ای از آسیب‌ پذیری‌ ها در سیستم‌ های پرداخت این سرویس ها کشف شده است. برای مثال نقص‌ های امنیتی که به مهاجمان اجازه می‌ دهد تا حملاتی از نوع مردی در میانه (MiTM) را انجام دهند و گزینه ای برای مداخله در مقادیر پرداخت تراکنش ها و انتقال کد دلخواه از طریق بلوتوث و برنامه‌ های موبایلی ایجاد کنند.

مهاجم می‌ تواند با مداخله در تراکنش‌ ها، مقادیر را دستکاری و به ترافیک تراکنش‌ ها دسترسی پیدا کند.

پژوهشگران نقص‌ ها را به سازندگان دستگاه های pos که به آنها اشاره شد، ارسال کرده‌ اند تا مشکلات را رفع کنند.

علاوه بر آسیب‌ پذیری‌ های کشف شده در دستگاه های کارت خوان موبایلی (موبایل POS ها)، دو آسیب‌ پذیری دیگر شامل CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷، نیز کشف شده‌ اند که ATM های تولید شده توسط کمپانی NCR را تحت تاثیر قرار می‌ دهند.

این نقص‌ های امنیتی به مهاجمان اجازه می‌ دهد تا حملات جعبه سیاه را با بهره‌ گیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاه‌ های خودپرداز انجام دهند. البته NCR وصله‌ هایی برای رفع آسیب‌ پذیری‌ های اعلام شده، منتشر کرده است.