Una catena di vulnerabilità che permetterebbero di sottrarre le informazioni di carte di credito e Bancomat sui POS basati su sistema operativo Android. A individuarle è stato Jacopo Jannone, un ingegnere informatico e penetration tester italiano che illustrerà la sua studio nel corso di un talk al No Hat 2024, la sesta edizione del convegno organizzato da Berghem-in-the-Middle che si terrà il prossimo sabato 19 ottobre al Centro Congressi Giovanni XXIII – Viale Papa Giovanni XXIII 106.
L’anello debole dei pagamenti digitali
La digitalizzazione dei pagamenti rappresenta un indiscusso balzo in avanti a livello tecnologico, ma anche sociale. I pagamenti su digitale non solo contribuiscono a ridurre il fenomeno dell’evasione fiscale, ma hanno anche un impatto positivo sull’ambiente. Nel nord Europa, per esempio, capita spesso di incappare in locali e negozi che permettono solo pagamenti tramite carta di credito e Bancomat, considerati più “ecologici” rispetto ai contanti, la cui produzione (e distribuzione) impatta sull’ambiente.
Il lato negativo, però, è quello legato alla possibilità che le transazioni vengano intercettate o che le informazioni delle carte siano sottratte e utilizzate per clonarle. Una tecnica che passa sotto il nome di skimming, ma che prevede normalmente tecniche piuttosto artigianali, come l’uso di videocamere per riprendere la digitazione del PIN nel momento in cui viene utilizzata la carta. La tecnica individuata da Jacopo Jannone, invece, ha le caratteristiche di un classico attacco hacker e permette di attingere alle informazioni direttamente dalla fonte.
Quando i POS sono strabocchevole “smart”
Alla base della vulnerabilità ci sono le caratteristiche dei nuovi Smart POS (Point Of Sale) che, lentamente ma inesorabilmente, stanno rimpiazzando i vecchi dispositivi che siamo abituati a utilizzare nei punti vendita.
“I vecchi dispositivi con tastierino e display a cristalli liquidi hanno funzionalità limitate e una struttura molto semplice” spiega Jacopo Jannone. “Le nuove generazioni di POS sono invece dei dispositivi molto simili a un qualsiasi smartphone. Questo significa che hanno un sistema operativo Android e, in particolare, permettono livelli di interazione molto più complessi, per esempio il collegamento tramite usb. Sono proprio queste caratteristiche che aumentano smisuratamente la superficie di attacco di un eventuale cyber criminale”.
Insomma: l’evoluzione dei dispositivi dedicati ai pagamenti, oltre a fornire nuove funzionalità e una maggiore versatilità, espongono a un maggiore rischio. Nel caso specifico, consentirebbero di modificare il funzionamento dello Smart POS per fare in modo che le informazioni memorizzate all’interno della carta siano inviate automaticamente a un cyber criminale.
Un hacking “fisico” per rubare i dati: gli scenari di un possibile attacco
Fortunatamente, le vulnerabilità individuate da Jannone non possono essere sfruttate in remoto. “Per compromettere il POS è necessario avere accesso fisico al dispositivo” spiega il ricercatore. Una buona notizia, che però lascia campo aperto a varie ipotesi di sfruttamento delle vulnerabilità. Il primo è che la “modifica” nel software del dispositivo venga fatta direttamente dall’operatore del POS. Con quali vantaggi? Per esempio la possibilità di clonare un Bancomat e poterlo utilizzare a proprio piacimento.
“La maggior parte delle informazioni che identificano carte di credito e Bancomat, come il numero di serie e la data di scadenza, sono visibili sulla carta stessa e, di conseguenza, potrebbero essere sottratti senza troppi problemi anche con strumenti ‘analogici’, per esempio una semplice fotografia” spiega Jannone. “Le cose cambiano per quanto riguarda il PIN. La catena di vulnerabilità che ho individuato permette infatti di registrarlo nel momento in cui viene digitato”.
Uno scenario ulteriore è quello di un attore malevolo che riesca, in qualche modo, a modificare i dispositivi intervenendo nella filiera di consegna dei POS stessi. In questo caso non sarebbe necessario il coinvolgimento dell’esercente, ma il furto di informazioni sarebbe comunque garantito e, potenzialmente, su vasta scala.
“Nel Proof of Concept che ho realizzato il collegamento per sottrarre i dati richiede un collegamento alla stessa rete wi-fi del dispositivo” specifica Jannone. “Non è escluso, però, che sia possibile mettere a punto varianti dell’attacco che consentano una trasmissione via web”.
Leggi tutto su www.wired.it
di www.wired.it 2024-10-18 04:40:00 ,
