Εντοπίστηκαν σοβαρές ευπάθειες στις συσκευές mPOS, κινδυνεύοντας οι καταναλωτές.
Κατά τη διάρκεια του φετινού συνεδρίου Black Hat που διεξήχθη στο Λας Βέγκας, οι ερευνητές της Positive Technologies, η Leigh-Anne Galloway και ο Tim Yunusov περιέγραψαν μια σειρά τρωτών σημείων που ανακάλυψαν στις συσκευές πληρωμών mPOS που θα μπορούσαν να επιτρέψουν στους δόλιους εμπόρους να παρεμβαίνουν στις πληρωμές, και κατά συνέπεια να επιβαρύνουν τους καταναλωτές με έξτρα κόστος.
Αυτές οι σοβαρές ευπάθειες εντοπίστηκαν σε πολλές συσκευές mPOS που είναι δημοφιλείς τόσο στις ΗΠΑ, όσο και στην Ευρώπη, συμπεριλαμβανομένων εκείνων της Square, SumUp, iZettle και PayPal.
Τα τελευταία χρόνια, οι συσκευές mPOS γνώρισαν τεράστια ανάπτυξη, καθώς τα τέλη που πρέπει να πληρώσουν τα καταστήματα που χρησιμοποιούν μια τετοια συσκευή για να αρχίζουν να δέχονται πληρωμές με κάρτες είναι βασικά μηδενικές.
Αυτές οι συσκευές έχουν παρόμοιο τρόπο λειτουργίας τόσο με τα ΑΤΜ όσο και με τα παραδοσιακά POS, γεγονός που τα καθιστά αρκετά ελκυστικά για τους χάκερς (λόγω της ευκολίας του εγχειρήματος) και άλλους εγκληματίες στον κυβερνοχώρο.
Οι ερευνητές ανακάλυψαν πώς αυτές οι ευπάθειες στις συσκευές mPOS, επιτρέπουν στους επιτιθέμενους να πραγματοποιούν συναλλαγές χωρίς τη συγκατάθεση του χρήστη, να αποστέλλουν τον κωδικό της κάρτας μέσω Bluetooth και μέσω εφαρμογών για κινητά, να τροποποιούν τις τιμές πληρωμής για συναλλαγές magstripe και να εκμεταλλεύονται την ευπάθεια εξ αποστάσεως.
Ωστόσο το μεγαλύτερο πρόβλημα της υπόθεσης είναι πως για να εκμεταλλευτείς αυτές τις ευπάθειες δεν χρειάζεται να είσαι ιδιαίτερα καταρτισμένος πάνω στο χακάρισμα, δηλαδή ένας απλός καταστηματάρχης θα μπορούσε να αποκτήσει πρόσβαση στη συναλλαγή, να τροποποιήσει το ποσό που εμφανίζεται στον πελάτη στον αναγνώστη καρτών και στη συνέχεια να τον αναγκάσει να εγκρίνει διαφορετικό ποσό χωρίς να το γνωρίζει.
Οι επιθέσεις στο magstripe (Magnetic stripe card) παρουσιάζουν σοβαρές αδυναμίες και σημαντικά ελαττώματα, και αυτό αντικατοπτρίζεται στο ότι μόνο το 58,5% των χρεωστικών και πιστωτικών καρτών στις Η.Π.Α. ακολουθούν τα πρότυπα ασφαλείας του EMV.
Ο Tim Yunusov προσέφερε περισσότερες πληροφορίες σχετικά με τα προβλήματα που παρουσιάζουν οι συναλλαγές μέσω του magstripe, λέγοντας:
«Όποιος πραγματοποιεί πληρωμή σε μια συσκευή mPOS δεν πρέπει να διεξάγει τη συναλλαγή μέσω του magstripe, αλλά να χρησιμοποιεί το pin. Επίσης οι έμποροι θα πρέπει να κατανοήσουν τον κίνδυνο οποιασδήποτε συσκευής σχεδιάζουν να ενσωματώσουν στην επιχείρησή τους. Όσοι χρησιμοποιούν φθηνές συσκευές πρέπει να λάβουν μέτρα για να μετριάσουν τον κίνδυνο, ενάντια σε διάφορες απειλές, και μάλιστα πρέπει άμεσα να καταργήσουν τις συναλλαγές magstripe. Ενώ η αγορά για τις περισσότερες από αυτές τις συσκευές δεν είναι σήμερα πολύ ώριμη, ωστόσο η δημοτικότητά τους αυξάνεται με ραγδαίο ρυθμό, επομένως είναι επιτακτική ανάγκη να δοθεί προτεραιότητα στην ασφάλεια των καταναλωτών που θέλουν να πληρώσουν τα προϊόντα που αγοράζουν».
