Una vulnerabilità nei dispositivi POS basati su sistema operativo Android consente di sottrarre tutte le informazioni che consentono di clonare carte di credito e Bancomat
Una vulnerabilità nei dispositivi POS basati su sistema operativo Android consente di sottrarre informazioni critiche, come quelle necessarie per clonare carte di credito e Bancomat. Questo problema è stato individuato dall’ingegnere informatico e penetration tester italiano Jacopo Jannone, che presenterà la sua ricerca durante il convegno No Hat 2024, organizzato da Berghem-in-the-Middle, il prossimo 19 ottobre presso il Centro Congressi Giovanni XXIII di Bergamo.
L’uso dei pagamenti digitali è in forte crescita, portando benefici sia tecnologici che sociali. I pagamenti elettronici contribuiscono, tra l’altro, a ridurre l’evasione fiscale e hanno un impatto ambientale minore rispetto all’uso del denaro contante, la cui produzione e distribuzione ha costi elevati per l’ambiente. In alcune aree del nord Europa, infatti, è già comune trovare locali che accettano solo pagamenti tramite carta di credito o Bancomat, considerati più ecologici.
Tuttavia, l’aumento dei pagamenti digitali porta con sé anche dei rischi, come la possibilità che le informazioni delle carte vengano intercettate e utilizzate per clonarle. Questo fenomeno, noto come “skimming”, spesso si verifica attraverso metodi rudimentali, come l’uso di videocamere per riprendere la digitazione del PIN. La tecnica individuata da Jannone, invece, rappresenta un vero attacco hacker e permette di ottenere le informazioni direttamente dal dispositivo POS.
La vulnerabilità
La vulnerabilità individuata si basa sulle caratteristiche dei nuovi Smart POS, dispositivi che stanno progressivamente sostituendo i vecchi POS nei punti vendita. Jacopo Jannone spiega: “I vecchi dispositivi con tastierino e display a cristalli liquidi hanno funzionalità limitate e una struttura molto semplice. Le nuove generazioni di POS, invece, sono molto simili a uno smartphone, con sistema operativo Android e funzionalità avanzate, come il collegamento tramite USB. Queste caratteristiche ampliano enormemente la superficie di attacco per un eventuale cyber criminale.”
In altre parole, mentre i nuovi dispositivi offrono funzionalità più avanzate, espongono anche a rischi maggiori. In particolare, potrebbero essere modificati in modo tale da inviare automaticamente a un hacker le informazioni delle carte memorizzate al loro interno.
Per fortuna, le vulnerabilità individuate da Jannone richiedono un accesso fisico al dispositivo per poter essere sfruttate. “Per compromettere il POS è necessario avere accesso fisico al dispositivo,” spiega il ricercatore. Questo limita in parte i rischi, ma lascia comunque aperti alcuni scenari di attacco. Ad esempio, un operatore del POS potrebbe essere coinvolto direttamente e modificare il software del dispositivo per clonare carte di credito o Bancomat.
“La maggior parte delle informazioni che identificano le carte, come numero di serie e data di scadenza, sono già visibili sulla carta stessa e potrebbero essere sottratte facilmente, ad esempio con una semplice fotografia,” continua Jannone. “Il problema vero riguarda il PIN. La catena di vulnerabilità che ho individuato permette infatti di registrarlo mentre viene digitato.”
Un altro scenario preoccupante è quello in cui un hacker riesca a intervenire nella filiera di distribuzione dei POS, modificando i dispositivi prima che arrivino nei punti vendita. In questo caso, non sarebbe nemmeno necessario il coinvolgimento dell’esercente, ma il furto di informazioni avverrebbe comunque, potenzialmente su larga scala.
Nel Proof of Concept (dimostrazione pratica) sviluppato da Jannone, il furto dei dati avviene collegando il POS alla stessa rete Wi-Fi del dispositivo. “Non è escluso, però, che si possano sviluppare varianti dell’attacco che permettano una trasmissione dei dati via web,” conclude Jannone.
FONTEUFFICIALE.it riassume le notizie pubblicate dalle agenzie di stampa e da altri media autorevoli (come Ansa, Agi, AdnKronos, Corriere della Sera, ecc..), quindi non è direttamente responsabile di inesattezze. Se, però, ritieni che un nostro articolo debba essere modificato o eliminato puoi farne richiesta [ scrivendo qui ].
Per ricevere i nostri aggiornamenti e restare informato ti invitiamo a seguirci sul nostro profilo ufficiale di Google News.