کد QR مطلبدریافت لینک صفحه با کد QR

حفره های بحرانی در دستگاه های POS

18 مرداد 1393 ساعت 16:43

ایتنا- محققان نشان دادند كه چگونه می توان با استفاده از كارت های هوشمند برنامه ریزی شده، دستگاه های POS تلفن همراه را در معرض خطر قرار داد.




روز پنج شنبه محققان امنیتی نشان دادند كه چگونه حفره های امنیتی به مهاجمان اجازه می دهند تا كنترل دستگاه های mPOS را در اختیار بگیرند. در صورتی كه از ماه آوریل این حفره اصلاح شده است اما هم چنان برخی از دستگاه ها نسبت به این حفره آسیب پذیر می باشند.


به گزارش ایتنا از مرکز ماهر، Jon Butler، مدیر تحقیقات MWR InfoSecurity و یكی از همكارانش، شش دستگاه mPOS معروف را كه در فروشگاه ها استفاه می شود و استاندارد EMV را پشتیبانی می كنند، مورد بررسی قرار دادند. این دستگاه ها دارای صفحه نمایش كوچك، یك كارت خوان و یك صفحه وارد كردنPIN كد می باشند.

آن ها یك سیستم عامل مبتنی بر لینوكس را اجرا می كنند و با برنامه های كاربردی پرداخت تلفن همراه كه بر روی گوشی های هوشمند نصب می شوند، از طریق بلوتوث ارتباط برقرار می كنند.

محققان MWR دریافتند كه علیرغم آن كه این دستگاه ها در ظاهر متفاوت به نظر می رسند اما ۷۵ درصد از آن ها از پلتفرمی یكسان استفاده می كنند.

آن ها در برخی از این دستگاه ها آسیب پذیری هایی در مكانیزم به روز رسانی سفت افزار پیدا كرده اند كه به آن ها اجازه می دهد تا دستوراتی را به عنوان root اجرا نمایند.

هم چنین یك آسیب پذیری سرریز بافر مبتنی بر پشته را در كتابخانه EMV پیدا كردند كه به آن ها اجازه می دهد تا كنترل كامل تمامی دستگاه هایی كه از یك كارت هوشمند برنامه ریز شده خاص استفاده می كنند را بدست آورند. در حال حاضر برخی از این دستگاه ها هم چنان آسیب پذیر می باشند.

به منظور اثبات این ادعا محققان از یك كارت جعلی برای نصب و اجرای برنامه ای مشابه Flappy Bird بر روی دستگاه ها استفاده كردند.

در سناریوی عملیاتی حمله، یك كلاهبردار می تواند به فروشگاهی كه از این دستگاه ها استفاده می كند برود و وانمود كند می خواهد چیزی بخرد، كارت جعلی خود را وارد دستگاه نماید و با یك كد از جزئیات كارت و شماره PIN مشتریانی كه قبلا از این دستگاه استفاده كردند تصویربردای كند.

علیرغم آن كه بسیاری از دستگاه های آلوده دارای قابلیت به روز رسانی از راه دور سفت افزار می باشند، برخی از تولدكنندگان، هم چنان به روز رسانی های حاوی اصلاح كتابخانه EMV را منتشر نكرده اند.

این محققان تمامی بردارهای حمله را به طور كامل مورد بررسی قرار نداده اند اما بر این باور هستند این امكان وجود دارد كه بتوان امنیت دستگاه های mPOS را از طریق یك گوشی هوشمند آلوده به بدافزار به خطر انداخت.

با وجود این یافته ها، Butler معتقد است كه امنیت دستگاه های POS تلفن همراه نسبت به دستگاه های سنتی POS بیشتر است.


کد مطلب: 31793

آدرس مطلب: https://www.itna.ir/news/31793/حفره-های-بحرانی-دستگاه-pos

ايتنا
  https://www.itna.ir