شماره: IRCNE2014082284
تاريخ:93/05/18
روز پنج شنبه محققان امنيتي نشان دادند كه چگونه حفره هاي امنيتي به مهاجمان اجازه مي دهند تا كنترل دستگاه هاي mPOS را در اختيار بگيرند. در صورتي كه از ماه آوريل اين حفره اصلاح شده است اما هم چنان برخي از دستگاه ها نسبت به اين حفره آسيب پذير مي باشند.
Jon Butler، مدير تحقيقات MWR InfoSecurity و يكي از همكارانش، شش دستگاه mPOS معروف را كه در فروشگاه ها استفاه مي شود و استاندارد EMV را پشتيباني مي كنند، مورد بررسي قرار دادند. اين دستگاه ها داراي صفحه نمايش كوچك، يك كارت خوان و يك صفحه وارد كردنPIN كد مي باشند. آن ها يك سيستم عامل مبتني بر لينوكس را اجرا مي كنند و با برنامه هاي كاربردي پرداخت تلفن همراه كه بر روي گوشي هاي هوشمند نصب مي شوند، از طريق بلوتوث ارتباط برقرار مي كنند.
محققان MWR دريافتند كه عليرغم آن كه اين دستگاه ها در ظاهر متفاوت به نظر مي رسند اما 75 درصد از آن ها از پلتفرمي يكسان استفاده مي كنند.
آن ها در برخي از اين دستگاه ها آسيب پذيري هايي در مكانيزم به روز رساني سفت افزار پيدا كرده اند كه به آن ها اجازه مي دهد تا دستوراتي را به عنوان root اجرا نمايند. هم چنين يك آسيب پذيري سرريز بافر مبتني بر پشته را در كتابخانه EMV پيدا كردند كه به آن ها اجازه مي دهد تا كنترل كامل تمامي دستگاه هايي كه از يك كارت هوشمند برنامه ريز شده خاص استفاده مي كنند را بدست آورند. در حال حاضر برخي از اين دستگاه ها هم چنان آسيب پذير مي باشند.
به منظور اثبات اين ادعا محققان از يك كارت جعلي براي نصب و اجراي برنامه اي مشابه Flappy Bird بر روي دستگاه ها استفاده كردند.
در سناريوي عملياتي حمله، يك كلاهبردار مي تواند به فروشگاهي كه از اين دستگاه ها استفاده مي كند برود و وانمود كند مي خواهد چيزي بخرد، كارت جعلي خود را وارد دستگاه نمايد و با يك كد از جزئيات كارت و شماره PIN مشترياني كه قبلا از اين دستگاه استفاده كردند تصويربرداي كند.
عليرغم آن كه بسياري از دستگاه هاي آلوده داراي قابليت به روز رساني از راه دور سفت افزار مي باشند، برخي از تولدكنندگان، هم چنان به روز رساني هاي حاوي اصلاح كتابخانه EMV را منتشر نكرده اند.
اين محققان تمامي بردارهاي حمله را به طور كامل مورد بررسي قرار نداده اند اما بر اين باور هستند اين امكان وجود دارد كه بتوان امنيت دستگاه هاي mPOS را از طريق يك گوشي هوشمند آلوده به بدافزار به خطر انداخت.
با وجود اين يافته ها، Butler معتقد است كه امنيت دستگاه هاي POS تلفن همراه نسبت به دستگاه هاي سنتي POS بيشتر است.
- 2