Terminais de (PoS) ponto de venda amplamente usados, são vulneráveis
Vulnerabilidades de segurança em terminais de ponto de venda (PoS) produzidos por dois dos maiores fabricantes desses dispositivos no mundo poderiam ter permitido que criminosos cibernéticos roubassem detalhes de cartão de crédito, clonassem terminais e cometessem outras formas de fraude financeira às custas de ambos compradores e varejistas.
As vulnerabilidades nos produtos Verifone e Ingenico – que são usados em milhões de lojas ao redor do mundo – foram detalhadas pelo pesquisador independente Aleksei Stennikov e Timur Yunusov, chefe de pesquisa de segurança ofensiva do Cyber R&D Lab durante uma apresentação Black Hat Europe 2020.
Depois de serem divulgadas aos fornecedores, as vulnerabilidades agora podem ser corrigidas aplicando patches de segurança – embora seja possível ter certeza de que os varejistas e outros envolvidos na distribuição e uso dos terminais PoS aplicaram as atualizações.
Uma das principais vulnerabilidades em ambas as marcas de dispositivo é o uso de senhas padrão que podem fornecer aos invasores acesso a um menu de serviço e a capacidade de manipular ou alterar o código nas máquinas para executar comandos maliciosos.
Os pesquisadores dizem que esses problemas de segurança existem há pelo menos 10 anos, enquanto alguns existem de uma forma ou de outra por até 20 anos – embora os últimos estejam principalmente em elementos legados do dispositivo que não são mais usados.
Os invasores podem obter acesso aos dispositivos para manipulá-los de duas maneiras. Eles são capazes de obter acesso físico ao terminal PoS ou remotamente obter acesso através da Internet e, em seguida, executar código arbitrário, buffer overflows e outras técnicas comuns que podem fornecer aos invasores uma escalada de privilégios e a capacidade para controlar o dispositivo – e ver e roubar os dados que passam por ele.
O acesso remoto é possível se um invasor obtiver acesso à rede por meio de phishing ou outro ataque e, a seguir, se mover livremente pela rede até o terminal PoS.
Em última análise, a máquina PoS é um computador e, se estiver conectada à rede e à Internet, os invasores podem tentar obter acesso e manipulá-la como qualquer outra máquina insegura.
A forma como o terminal PoS se comunica com o resto da rede significa que os invasores podem acessar dados de cartão de dados não criptografados, incluindo Track2 e informações de PIN, fornecendo todas as informações necessárias para roubar e clonar cartões de pagamento.
Para se proteger contra ataques que exploram vulnerabilidades de PoS, é recomendado que os varejistas que usam os dispositivos garantam que eles estejam corrigidos e atualizados e evitem o uso de senhas padrão sempre que possível.
Também é recomendado que, se possível, os dispositivos PoS estejam em uma rede diferente de outros dispositivos, portanto, se um invasor obtiver acesso à rede por meio de um sistema Windows, não será tão simples para eles se conectar aos dispositivos PoS.
Ambos os fabricantes de dispositivos PoS confirmaram que foram informados das vulnerabilidades e que um patch foi lançado para impedir que invasores as explorem. Nenhuma das empresas está ciente de quaisquer instâncias das vulnerabilidades sendo exploradas na natureza.
“A Ingenico não foi informada de nenhum acesso fraudulento aos dados de pagamentos decorrentes dessas vulnerabilidades, já totalmente corrigidas. Todos os dias, a Ingenico trabalha arduamente para implementar, de forma contínua, os mais elevados padrões das mais recentes tecnologias de segurança a fim de proteger os seus clientes e usuários finais e está monitorando de perto a situação para evitar a recorrência deste problema “, disse um porta-voz da Ingenico à ZDNet.
“Estamos cientes dos problemas levantados que podem afetar um subconjunto de nossos dispositivos de pagamento legados. Até o momento, não temos conhecimento dessas vulnerabilidades sendo exploradas no mercado”, disse um porta-voz da Verifone à ZDNet.
“A empresa de segurança validou que nossos patches e atualizações de software mais recentes, que estão disponíveis para todos os clientes, corrigem essas vulnerabilidades. Os clientes estão atualmente em diferentes fases de implementação desses patches ou atualizações de software”.
Fonte: https://www.zdnet.com/