Ευάλωτα ορισμένα Ευρωπαϊκά PoS Payment Systems

Εμπειρογνώμονες Ασφαλείας ισχυρίζονται ότι το μεγαλύτερο μέρος των τερματικών πληρωμής, γνωστά και ως PoS Payment Systems, που χρησιμοποιούνται στη Γερμανία, εμπεριέχουν παλαιά ευάλωτα πρωτόκολλα, αλλά και κάνουν χρήση κακών πρακτικών, όταν πρόκειται για την κρυπτογράφηση των δεδομένων.

pos payment

Σύμφωνα με τους ερευνητές, το πρόβλημα υπάρχει και στις δύο διαδικασίες επικοινωνίας, δηλαδή στο πρωτόκολλο που χρησιμοποιείται για να επικοινωνήσει η PoS Payment συσκευή του ταμία με το σταθμό του καταστήματος, και το πρωτόκολλο που στέλνει τα δεδομένα από το σταθμό-τερματικό πληρωμής προς την τράπεζα για την επεξεργασία των δεδομένων.

Ευάλωτα στο εσωτερικό …
Από την πλευρά της τοπικής επικοινωνίας, οι ερευνητές διαπίστωσαν ότι ένα υψηλό ποσοστό των Γερμανικών επεξεργαστών πληρωμής χρησιμοποιούν το πρωτόκολλο ZVT, που είναι γνωστό ότι είναι επιρρεπές σε απλές επιθέσεις υποκλοπής και που επιτρέπει σε hacker να υποκλέψει τα στοιχεία για τις πιστωτικές κάρτες.

Αυτό που κάνει τα πράγματα χειρότερα είναι ότι αυτό το πρωτόκολλο είναι επίσης υπεύθυνο για την ανάγνωση του PIN της κάρτας μέσω των PοS και την αποστολή του πίσω στο κεντρικό σταθμό για να επιτρέψει τη συναλλαγή.

Αν και η επικοινωνία αυτή γίνεται κρυπτογραφημένη, οι ερευνητές διαπίστωσαν ότι οι PoS (Point of Sale) κατασκευαστές αποθηκεύουν το κλειδί κρυπτογράφησης στη συσκευή, και συχνά χρησιμοποιούν τον ίδιο κλειδί.

pay1

… Ευάλωτα στο εξωτερικό
Ανάμεσα στο τερματικό PοS και στην τράπεζα, τα πράγματα δεν είναι τόσο ρόδινα. Το πρωτόκολλο που χρησιμοποιείται για την ανταλλαγή δεδομένων μεταξύ αυτών των δύο, μια παραλλαγή του προτύπου ISO 8583, γνωστή ως Poseidon, διαθέτει ένα ελάττωμα ελέγχου ταυτότητας.

Επαναλαμβάνοντας το ίδιο λάθος, οι κατασκευαστές PoS αποθηκεύουν επίσης το κλειδί κρυπτογράφησης που χρησιμοποιείται για την ανταλλαγή κρυπτογραφημένων δεδομένων με τρίτα μέρη. Αυτό το κλειδί είναι αποθηκευμένο στην ίδια τη συσκευή και σπάνια αλλάζει, είναι τις περισσότερες φορές το ίδιο για ολόκληρο παρτίδες τερματικών PοS.

Οι ερευνητές έχουν προγραμματιστεί να κάνουν μια εκτεταμένη παρουσίαση σχετικά με το θέμα αυτό την Κυριακή στις 27 Δεκεμβρίου στο Αμβούργο στο 32ο Συνέδριο Επικοινωνίας Chaos (32C3).

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















Written by Δημήτρης

O Δημήτρης μισεί τις Δευτέρες.....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).