курс цб на 14.11: USD 67.6812 EUR 76.0737
криптовалют: BTC 6260$ ETH 203.25$
Новости / Безопасность / 507 просмотров

В mPOS-терминалах Square, SumUp, iZettle и PayPal обнаружены опасные уязвимости

Эксперты Positive Technologies обнаружили опасные уязвимости в мобильных POS-терминалах ведущих производителей Европы и США — Square, SumUp, iZettle и PayPal. Мошенники могут изменить взимаемую сумму или вынудить владельца карты выбрать менее защищенный способ оплаты. 

Об обнаруженных уязвимостях исследователи Positive Technologies рассказали на конференции Black Hat в США. Благодаря недостаткам mPOS-терминалов мошенники могут вмешаться в процесс оплаты — изменить сумму или вынудить покупателя использовать менее надежные методы проведения транзакции, например, по магнитной полосе.

Терминалы mPOS позволяют принимать к оплате банковские карты везде, где есть сотовая связь, с помощью смартфона или планшета и мобильного приложения поставщика платежных услуг. Во многих современных моделях связь между mPOS и смартфоном (планшетом) осуществляется по протоколу Bluetooth.

Как выяснили исследователи, недобросовестный продавец может получить доступ к Bluetooth-трафику и изменить сумму, которая до этого отображалась на mPOS, а покупатель, сам того не зная, подтвердит оплату на совершенно другую сумму. Для этого транзакция должна верифицироваться магнитной полосой. Однако, по данным EMVCo, в России и странах СНГ более 90% транзакций осуществляются с помощью чипа. Тем не менее пользователи могут воспользоваться картами с магнитной полосой в странах, где такой вид мошенничества более актуален: к примеру, в США и странах Азии доля транзакций с помощью чипа составляет 41% и 54% соответственно.

«В зарубежных странах недобросовестным продавцам гораздо проще зарегистрировать терминал mPOS и начать осуществлять платежи. В США для регистрации терминала потребуется лишь номер социального страхования, а в России владелец mPOS должен иметь регистрацию ИП. Однако на территории нашей страны эти терминалы используются в работе компаний, которым необходимо принимать платежи там, где обычные терминалы не используются — курьерская доставка с оплатой и т.п. Поэтому при оплате через mPOS покупателям не рекомендуется использовать магнитную полосу карты, — отмечает Тимур Юнусов, руководитель отдела безопасности банковских систем Positive Technologies. — Более безопасными являются транзакции с применением чипа карты и верификацией платежа PIN-кодом или подписью, а также бесконтактный способ оплаты».

В ряде mPOS присутствовала уязвимость, которая приводит к удаленному выполнению кода (Remote Code Execution, RCE). Ее эксплуатация позволяет получить полный контроль над операционной системой устройства, считывающего данные банковской карты. Недобросовестный продавец может собирать данные с магнитной полосы или чипа для создания клона карты. Также при наличии определенных навыков у злоумышленника существует возможность перехвата PIN-кода с чиповой карты. Более того, мошенничество с помощью mPOS может произойти и со стороны недобросовестного покупателя. Имитируя оплату по карте, злоумышленник может подключить свое зловредное устройство – смартфон или ноутбук к данному терминалу, заразить его вредоносным ПО и в дальнейшем собирать данные с карт других пользователей, расплачивающихся с помощью этого mPOS.

Кроме того, на некоторых mPOS была выявлена возможность отправки специальных команд, которые могут использоваться в целях мошенничества и влиять на действия покупателя. Неблагонадежный продавец может, например, вынудить покупателя использовать менее защищенный способ оплаты (через магнитную полосу карты) или сказать, что платеж отклонен, заставив его таким образом произвести оплату еще раз.

Компания Positive Technologies проинформировала поставщиков и производителей уязвимых терминалов mPOS и оказывает им содействие в устранении обнаруженных проблем.

Портал PLUSworld.ru готовит подробный материал о выявленной уязвимости. Следите за нашими новостями!

По материалам Positive Technologies