کشف آسیب‌پذیری در سیستم‌های پرداخت و کارت‌خوان‌های موبایلی / دسترسی به تراکنش‌ها

مرکز مدیریت راهبردی افتای ریاست جمهوری نسبت به کشف مجموعه‌ای از آسیب‌پذیری‌ها در سیستم‌های پرداخت و کارت‌خوان‌های موبایلی هشدار داد.

به گزارش خبرگزاری مهر، کارشناسان امنیتی آسیب‌پذیری‌هایی را در دستگاه‌های موبایل POS سازندگانی از قبیل Square، SumUp، iZettle و PayPal کشف کردند که می‌توانند توسط فروشندگان و مهاجمان برای سرقت حساب‌های کاربران و اطلاعات کارت‌های اعتباری آن‌ها مورد سوءاستفاده قرار گیرند.

طبق گفته پژوهشگران، مهاجمان نه‌تنها می‌توانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه می‌توانند مشتریان را وادار کنند تا از سایر روش‌های پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسان‌تر شود.

سرویس‌های موبایل POS در کارت‌خوان‌های موبایلی استفاده‌شده‌اند و به‌عنوان راه‌حلی جانبی و ارزان‌تر برای کسب‌وکارهای کوچک و متوسط به‌منظور پرداخت در نظر گرفته می‌شوند. این دستگاه‌ها از طریق بلوتوث با برنامه‌های موبایلی ارتباط برقرار می‌کنند تا داده‌ها را به سرورهای ارائه‌دهنده سرویس پرداخت ارسال کنند.

بررسی‌ها نشان می‌دهد که مجموعه‌ای از آسیب‌پذیری‌ها در سیستم‌های پرداخت این سرویس‌ها کشف‌شده است. برای مثال نقص‌های امنیتی که به مهاجمان اجازه می‌دهد تا حملاتی از نوع مردی در میانه (MiTM) را انجام دهند و گزینه‌ای برای مداخله در مقادیر پرداخت تراکنش‌ها و انتقال کد دلخواه از طریق بلوتوث و برنامه‌های موبایلی ایجاد کنند.

مهاجم می‌تواند با مداخله در تراکنش‌ها، مقادیر را دست‌کاری و به ترافیک تراکنش‌ها دسترسی یابد. پژوهشگران نقص‌ها را به سازندگان دستگاه‌های POS که به آن‌ها اشاره شد، ارسال کرده‌اند تا مشکلات را رفع کنند. علاوه بر آسیب‌پذیری‌های کشف‌شده در دستگاه‌های کارت‌خوان موبایلی (موبایل POSها)، دو آسیب‌پذیری دیگر شامل CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷، نیز کشف‌شده‌اند که ATMهای تولیدشده توسط کمپانی NCR را تحت تأثیر قرار می‌دهند.

این نقص‌های امنیتی به مهاجمان اجازه می‌دهد تا حملات جعبه سیاه را با بهره‌گیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاه‌های خودپرداز انجام دهند. البته NCR وصله‌هایی برای رفع آسیب‌پذیری‌های اعلام‌شده، منتشر کرده است.