El jueves en la conferencia Black Hat en Las Vegas, expertos en seguridad de Positive Technologies dijeron que las vulnerabilidades presentes en las máquinas de mPOS podrían permitir a los comerciantes inescrupulosos atacar las cuentas de los clientes o robar datos de tarjetas de crédito.

 

Según los investigadores Leigh-Anne Galloway y Tim Yunusov, los atacantes detrás del dispositivo móvil no solo podían cambiar la cantidad cargada en una tarjeta de crédito sino también obligar a los clientes a usar otros métodos de pago, como la banda magnética, que también pueden verse comprometidos más fácilmente que el chip con el propósito de filtración de datos.

 

El equipo descubrió un conjunto de vulnerabilidades en los sistemas de pago de punto final, incluidos fallos de seguridad que permitían a los atacantes espiar bajo la modalidad “Man-in-The-Middle” (MiTM), la transferencia de código a través de Bluetooth y aplicaciones móviles con la opción de manipular los valores de pago para las transacciones de banda magnética.

 

Estos atacantes tuvieron éxito debido a cómo funcionan los sistemas mPOS. Estos dispositivos se comunican a través de Bluetooth con aplicaciones móviles, que luego envían datos a servidores de proveedores de pagos.

 

Sin embargo, al interceptar transacciones, es posible manipular valores, así como también obtener acceso al tráfico de transacciones.

 

Además, los atacantes también tienen la capacidad de ejecutar código de forma remota en sistemas comprometidos. 

 

 

Los investigadores dicen que a través de este defecto de seguridad, los hackers pueden obtener acceso al sistema operativo completo de un lector de tarjetas, así como alterar el aspecto de una compra, lo que permite a los comerciantes malintencionados cambiar los valores o hacer que parezca que una transacción ha sido rechazada.

 

"Actualmente hay muy pocos controles de los comerciantes antes de que puedan comenzar a usar un dispositivo mPOS y las personas menos escrupulosas pueden, por lo tanto, robar dinero de las personas con relativa facilidad si tienen los conocimientos técnicos", dijo Galloway. "Como tal, los proveedores de lectores deben asegurarse de que la seguridad sea muy alta y esté integrada en el proceso de desarrollo desde el principio".

 

Las vulnerabilidades se han divulgado a los proveedores mencionados. Positive Technologies está trabajando con las empresas para solucionar los problemas de seguridad.

 

Según informó el sitio CNET, Square dijo que el lector del fabricante Miura modelo M010 , que se conecta con el software de Square, era vulnerable al ataque.

 

Como resultado, Square "aceleró los planes existentes para retirar el soporte para el lector M010, y comenzó la transición de todos estos proveedores de Square a un lector Square Contactless y Chip", según un vocero de la compañía.

 

Además de los hallazgos de mPOS, la empresa de ciberseguridad también reveló dos vulnerabilidades, CVE-2017-17668 y CVE-2018-5717, que afectan a los cajeros automáticos fabricados por NCR.

 

Los fallos de seguridad permitieron a los atacantes realizar ataques de caja negra aprovechando la escasa seguridad física para comprometer la red y obligar a los cajeros automáticos a dispensar efectivo.

 

NCR ha lanzado parches de firmware para abordar las vulnerabilidades.