Buzz
Các đầu đọc thẻ nhỏ gọn bạn sử dụng để thanh toán tại các chợ nông sản, buổi bánh ngọt, và cửa hàng sinh tố là thuận tiện cho người tiêu dùng và người bán hàng. Nhưng trong khi ngày càng nhiều giao dịch được thực hiện thông qua chúng, các thiết bị của bốn công ty hàng đầu trong lĩnh vực này—Square, SumUp, iZettle, và PayPal—đều có nhiều lỗ hổng bảo mật đáng lo ngại.
Leigh-Anne Galloway và Tim Yunusov từ công ty an ninh Positive Technologies kiểm tra bảy thiết bị điểm bán hàng di động. Những gì họ tìm thấy không đẹp chút nào: lỗi cho phép họ thao tác lệnh bằng Bluetooth hoặc ứng dụng di động, sửa đổi số tiền thanh toán trong giao dịch vuốt magstripe, và thậm chí kiểm soát từ xa toàn bộ thiết bị bán hàng.
"Câu hỏi rất đơn giản mà chúng tôi đặt ra là bao nhiêu bảo mật có thể được tích hợp vào một thiết bị có giá dưới 50 đô la?" Galloway nói. "Với tâm trạng đó, chúng tôi bắt đầu nhỏ với hai nhà cung cấp và hai đầu đọc thẻ, nhưng nhanh chóng nó trở thành một dự án lớn hơn nhiều."
Tất cả bốn nhà sản xuất đều đang giải quyết vấn đề, và không phải tất cả các mô hình đều có thể bị lợi dụng bởi tất cả các lỗi. Trong trường hợp của Square và PayPal, các lỗ hổng được phát hiện trong phần cứng của bên thứ ba do một công ty tên là Miura sản xuất. Các nhà nghiên cứu sẽ trình bày các kết quả của họ vào thứ Năm tại hội nghị an ninh Black Hat.
Các nhà nghiên cứu đã phát hiện rằng họ có thể lợi dụng lỗi trong kết nối Bluetooth và ứng dụng di động của các thiết bị để chặn giao dịch hoặc sửa đổi lệnh. Các lỗ hổng có thể cho phép một kẻ tấn công tắt giao dịch dựa trên chip, buộc khách hàng sử dụng giao dịch vuốt magstrip ít an toàn hơn, và dễ dàng hơn để đánh cắp dữ liệu và sao chép thẻ khách hàng.
Hoặc một thương nhân gian lận có thể làm cho thiết bị mPOS trông như từ chối một giao dịch để khiến người dùng lặp lại nó nhiều lần, hoặc để thay đổi tổng số của một giao dịch magstripe lên đến giới hạn $50,000. Bằng cách chặn lưu lượng và lén sửa đổi giá trị thanh toán, một kẻ tấn công có thể khiến khách hàng chấp nhận một giao dịch trông bình thường nhưng thực sự có giá trị nhiều hơn. Trong những loại lừa đảo như vậy, khách hàng phải tin cậy vào ngân hàng và công ty phát hành thẻ tín dụng của họ để bảo hiểm cho mất mát của họ, nhưng magstripe là một giao thức đã lạc hậu, và các doanh nghiệp tiếp tục sử dụng nó hiện nay mang trách nhiệm về mặt pháp lý.
Nhóm nghiên cứu cũng báo cáo về vấn đề với xác nhận firmware và việc giảm phiên bản có thể cho phép một kẻ tấn công cài đặt firmware cũ hoặc bị nhiễm bẩn, làm tăng nguy cơ lộ thông tin từ các thiết bị.
Các nhà nghiên cứu phát hiện rằng trong Đầu Đọc Miura M010, mà Square và Paypal trước đây bán như một thiết bị bên thứ ba, họ có thể lợi dụng các lỗ hổng kết nối để có quyền thực hiện toàn bộ mã từ xa và truy cập hệ thống tệp trong đầu đọc. Galloway lưu ý rằng một kẻ tấn công bên thứ ba có thể muốn sử dụng kiểm soát này đặc biệt để thay đổi chế độ của một bàn phím PIN từ mã hóa thành văn bản thường, được biết đến là "chế độ lệnh," để quan sát và thu thập số PIN của khách hàng.
Các nhà nghiên cứu đánh giá tài khoản và thiết bị được sử dụng ở các khu vực Hoa Kỳ và châu Âu, vì chúng được cấu hình khác nhau ở mỗi địa điểm. Và trong khi tất cả các terminal mà nhóm nghiên cứu kiểm tra đều chứa ít nhất một số lỗ hổng, những lỗ hổng tồi tệ nhất chỉ giới hạn ở một vài trong số chúng.
"Đầu Đọc Miura M010 là một đầu đọc thẻ chip thẻ tín dụng của bên thứ ba mà chúng tôi ban đầu cung cấp như một biện pháp tạm thời và hiện nay chỉ được sử dụng bởi vài trăm người bán Square. Ngay khi chúng tôi nhận thức được lỗ hổng ảnh hưởng đến Đầu Đọc Miura, chúng tôi đã tăng tốc kế hoạch hiện tại để ngừng hỗ trợ cho Đầu Đọc M010," một người phát ngôn của Square nói với Mytour. "Hôm nay, không còn khả năng sử dụng Đầu Đọc Miura trên hệ sinh thái Square."
"SumUp xác nhận rằng chưa bao giờ có bất kỳ gian lận nào được thử nghiệm qua các terminal của họ bằng phương pháp dựa trên dải từ có trong báo cáo này," nói một người phát ngôn của SumUp. "Tuy nhiên, ngay sau khi các nhà nghiên cứu liên hệ với chúng tôi, đội ngũ của chúng tôi đã loại bỏ thành công bất kỳ khả năng nào về thử nghiệm gian lận trong tương lai."
"Chúng tôi nhận ra vai trò quan trọng mà các nhà nghiên cứu và cộng đồng người dùng của chúng tôi đóng góp để giữ cho PayPal an toàn," một người phát ngôn nói trong một tuyên bố. "Hệ thống của PayPal không bị ảnh hưởng và đội ngũ của chúng tôi đã khắc phục vấn đề."
iZettle không phản hồi lại yêu cầu của Mytour để bình luận, nhưng các nhà nghiên cứu cho biết công ty này cũng đang khắc phục các lỗi của mình.
Galloway và Yunusov hài lòng với phản ứng tích cực từ các nhà cung cấp. Tuy nhiên, họ hy vọng rằng những kết quả của họ sẽ tăng cường nhận thức về vấn đề lớn hơn về việc biến an ninh thành ưu tiên phát triển cho các thiết bị nhúng chi phí thấp.
"Loại vấn đề chúng ta thấy trong thị trường này có thể áp dụng rộng rãi hơn cho IoT," Galloway nói. "Với một thứ như máy đọc thẻ, bạn sẽ có kỳ vọng về một mức độ an ninh nhất định như là người tiêu dùng hoặc chủ doanh nghiệp. Nhưng nhiều trong số những công ty này chưa tồn tại lâu và sản phẩm chúng thậm chí còn chưa trưởng thành. An ninh không nhất thiết sẽ được tích hợp vào quá trình phát triển."
Những bài viết tuyệt vời khác từ Mytour
- Muốn trở nên giỏi hơn trong PUBG? Hỏi chính người tạo ra PlayerUnknown
- Đánh hack vào một chiếc Mac hoàn toàn mới từ xa, ngay khi mở hộp
- Khủng hoảng sức khỏe tâm thần đe dọa từ biến đổi khí hậu
- Bản kế hoạch của Silicon Valley để tránh các thảm họa đạo đức
- Bên trong thế giới 23 chiều của lớp sơn trên ô tô của bạn
- Muốn xem thêm? Đăng ký nhận bản tin hàng ngày của chúng tôi và đừng bao giờ bỏ lỡ những câu chuyện mới và tuyệt vời nhất của chúng tôi
