حفره های بحرانی در دستگاه های POS تلفن همراه
محققان نشان دادند
محققان نشان دادند که چگونه می توان با استفاده از کارت های هوشمند برنامه ریزی شده، دستگاه های POS تلفن همراه را در معرض خطر قرار داد.به منظور اثبات این ادعا محققان از یک کارت جعلی برای نصب و اجرای برنامه ای مشابه Flappy Bird بر روی دستگاه ها استفاده کردند.
به گزارش پایگاه خبری بانکداری الکترونیک،روز پنج شنبه محققان امنیتی نشان دادند که چگونه حفره های امنیتی به مهاجمان اجازه می دهند تا کنترل دستگاه های mPOS را در اختیار بگیرند. در صورتی که از ماه آوریل این حفره اصلاح شده است اما هم چنان برخی از دستگاه ها نسبت به این حفره آسیب پذیر می باشند.
Jon Butler، مدیر تحقیقات MWR InfoSecurity و یکی از همکارانش، شش دستگاه mPOS معروف را که در فروشگاه ها استفاه می شود و استاندارد EMV را پشتیبانی می کنند، مورد بررسی قرار دادند. این دستگاه ها دارای صفحه نمایش کوچک، یک کارت خوان و یک صفحه وارد کردنPIN کد می باشند. آن ها یک سیستم عامل مبتنی بر لینوکس را اجرا می کنند و با برنامه های کاربردی پرداخت تلفن همراه که بر روی گوشی های هوشمند نصب می شوند، از طریق بلوتوث ارتباط برقرار می کنند.
محققان MWR دریافتند که علیرغم آن که این دستگاه ها در ظاهر متفاوت به نظر می رسند اما 75 درصد از آن ها از پلتفرمی یکسان استفاده می کنند.
آن ها در برخی از این دستگاه ها آسیب پذیری هایی در مکانیزم به روز رسانی سخت افزار پیدا کرده اند که به آن ها اجازه می دهد تا دستوراتی را به عنوان root اجرا نمایند. هم چنین یک آسیب پذیری سرریز بافر مبتنی بر پشته را در کتابخانه EMV پیدا کردند که به آن ها اجازه می دهد تا کنترل کامل تمامی دستگاه هایی که از یک کارت هوشمند برنامه ریز شده خاص استفاده می کنند را بدست آورند. در حال حاضر برخی از این دستگاه ها هم چنان آسیب پذیر می باشند.
به منظور اثبات این ادعا محققان از یک کارت جعلی برای نصب و اجرای برنامه ای مشابه Flappy Bird بر روی دستگاه ها استفاده کردند.
در سناریوی عملیاتی حمله، یک کلاهبردار می تواند به فروشگاهی که از این دستگاه ها استفاده می کند برود و وانمود کند می خواهد چیزی بخرد، کارت جعلی خود را وارد دستگاه نماید و با یک کد از جزئیات کارت و شماره PIN مشتریانی که قبلا از این دستگاه استفاده کردند تصویربردای کند.
علیرغم آن که بسیاری از دستگاه های آلوده دارای قابلیت به روز رسانی از راه دور سخت افزار می باشند، برخی از تولدکنندگان، هم چنان به روز رسانی های حاوی اصلاح کتابخانه EMV را منتشر نکرده اند.
این محققان تمامی بردارهای حمله را به طور کامل مورد بررسی قرار نداده اند اما بر این باور هستند این امکان وجود دارد که بتوان امنیت دستگاه های mPOS را از طریق یک گوشی هوشمند آلوده به بدافزار به خطر انداخت.
با وجود این یافته ها، Butler معتقد است که امنیت دستگاه های POS تلفن همراه نسبت به دستگاه های سنتی POS بیشتر است.