کشف آسیب پذیری در کارت‌خوان‌های موبایلی

موبنا – به گزارش موبنا به نقل از مرکز مدیریت راهبردی امنیت فضای تولید و تبادل اطلاعات ریاست جمهوری، کارشناسان امنیتی آسیب‌پذیری‌هایی را در دستگاه‌های موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal کشف کردند که می‌توانند توسط فروشندگان و مهاجمان برای سرقت حساب‌های کاربران و اطلاعات کارت‌های اعتباری آنها مورد سوءاستفاده قرار گیرند.
طبق گفته پژوهشگران، مهاجمان نه تنها می‌توانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه می‌توانند مشتریان را وادار کنند تا از سایر روش‌های پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسان‌تر شود.
سرویس‌های موبایل POS در کارت‌خوان‌های موبایلی استفاده شده‌اند و به عنوان راه‌حلی جانبی و ارزان‌تر برای کسب‌وکارهای کوچک و متوسط به منظور پرداخت در نظر گرفته می‌شوند. این دستگاه‌ها از طریق بلوتوث با برنامه‌های موبایلی ارتباط برقرار می‌کنند تا داده‌ها را به سرورهای ارائه دهنده سرویس پرداخت ارسال کنند.
بررسی ها نشان می دهد که مجموعه‌ای از آسیب‌پذیری‌ها در سیستم‌های پرداخت این سرویسها کشف شده است. برای مثال نقص‌های امنیتی که به مهاجمان اجازه می‌دهد تا حملاتی از نوع مردی در میانه (MiTM) را انجام دهند و گزینه ای برای مداخله در مقادیر پرداخت تراکنش ها و انتقال کد دلخواه از طریق بلوتوث و برنامه‌های موبایلی ایجاد کنند.
مهاجم می‌تواند با مداخله در تراکنش‌ها، مقادیر را دستکاری و به ترافیک تراکنش‌ها دسترسی یابد.
پژوهشگران نقص‌ها را به سازندگان دستگاههای pos که به آنها اشاره شد، ارسال کرده‌اند تا مشکلات را رفع کنند.
علاوه بر آسیب‌پذیری‌های کشف شده در دستگاههای کارتخوان موبایلی (موبایل POSها)، دو آسیب‌پذیری دیگر شامل CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷، نیز کشف شده‌اند که ATMهای تولید شده توسط کمپانی NCR را تحت تاثیر قرار می‌دهند.
این نقص‌های امنیتی به مهاجمان اجازه می‌دهد تا حملات جعبه سیاه را با بهره‌گیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاه‌های خودپرداز انجام دهند. البته NCR وصله‌هایی برای رفع آسیب‌پذیری‌های اعلام شده، منتشر کرده است.