پایگاه خبری راه پرداخت دارای مجوز به شماره ۷۴۵۷۲ از وزارت فرهنگ و ارشاد اسلامی و بخشی از «شبکه عصر تراکنش» است. راه پرداخت فعالیت خود را از دوم اردیبهشتماه ۱۳۹۰ شروع کرده و اکنون پرمخاطبترین رسانه ایران در زمینه فناوریهای مالی، بانکداری و پرداخت و استارتآپهای فینتک است.
کشف آسیبپذیری در سیستمهای پرداخت و کارتخوانهای موبایلی / دسترسی به تراکنشها
مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به کشف مجموعهای از آسیبپذیریها در سیستمهای پرداخت و کارتخوانهای موبایلی هشدار داد.
به گزارش خبرگزاری مهر، کارشناسان امنیتی آسیبپذیریهایی را در دستگاههای موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal کشف کردند که میتوانند توسط فروشندگان و مهاجمان برای سرقت حسابهای کاربران و اطلاعات کارتهای اعتباری آنها مورد سوءاستفاده قرار گیرند.
طبق گفته پژوهشگران، مهاجمان نهتنها میتوانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه میتوانند مشتریان را وادار کنند تا از سایر روشهای پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسانتر شود.
سرویسهای موبایل POS در کارتخوانهای موبایلی استفادهشدهاند و بهعنوان راهحلی جانبی و ارزانتر برای کسبوکارهای کوچک و متوسط بهمنظور پرداخت در نظر گرفته میشوند. این دستگاهها از طریق بلوتوث با برنامههای موبایلی ارتباط برقرار میکنند تا دادهها را به سرورهای ارائهدهنده سرویس پرداخت ارسال کنند.
بررسیها نشان میدهد که مجموعهای از آسیبپذیریها در سیستمهای پرداخت این سرویسها کشفشده است. برای مثال نقصهای امنیتی که به مهاجمان اجازه میدهد تا حملاتی از نوع مردی در میانه (MiTM) را انجام دهند و گزینهای برای مداخله در مقادیر پرداخت تراکنشها و انتقال کد دلخواه از طریق بلوتوث و برنامههای موبایلی ایجاد کنند.
مهاجم میتواند با مداخله در تراکنشها، مقادیر را دستکاری و به ترافیک تراکنشها دسترسی یابد. پژوهشگران نقصها را به سازندگان دستگاههای POS که به آنها اشاره شد، ارسال کردهاند تا مشکلات را رفع کنند. علاوه بر آسیبپذیریهای کشفشده در دستگاههای کارتخوان موبایلی (موبایل POSها)، دو آسیبپذیری دیگر شامل CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷، نیز کشفشدهاند که ATMهای تولیدشده توسط کمپانی NCR را تحت تأثیر قرار میدهند.
این نقصهای امنیتی به مهاجمان اجازه میدهد تا حملات جعبه سیاه را با بهرهگیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاههای خودپرداز انجام دهند. البته NCR وصلههایی برای رفع آسیبپذیریهای اعلامشده، منتشر کرده است.