Εμπειρογνώμονες Ασφαλείας ισχυρίζονται ότι το μεγαλύτερο μέρος των τερματικών πληρωμής, γνωστά και ως PoS Payment Systems, που χρησιμοποιούνται στη Γερμανία, εμπεριέχουν παλαιά ευάλωτα πρωτόκολλα, αλλά και κάνουν χρήση κακών πρακτικών, όταν πρόκειται για την κρυπτογράφηση των δεδομένων.
Σύμφωνα με τους ερευνητές, το πρόβλημα υπάρχει και στις δύο διαδικασίες επικοινωνίας, δηλαδή στο πρωτόκολλο που χρησιμοποιείται για να επικοινωνήσει η PoS Payment συσκευή του ταμία με το σταθμό του καταστήματος, και το πρωτόκολλο που στέλνει τα δεδομένα από το σταθμό-τερματικό πληρωμής προς την τράπεζα για την επεξεργασία των δεδομένων.
Ευάλωτα στο εσωτερικό …
Από την πλευρά της τοπικής επικοινωνίας, οι ερευνητές διαπίστωσαν ότι ένα υψηλό ποσοστό των Γερμανικών επεξεργαστών πληρωμής χρησιμοποιούν το πρωτόκολλο ZVT, που είναι γνωστό ότι είναι επιρρεπές σε απλές επιθέσεις υποκλοπής και που επιτρέπει σε hacker να υποκλέψει τα στοιχεία για τις πιστωτικές κάρτες.
Αυτό που κάνει τα πράγματα χειρότερα είναι ότι αυτό το πρωτόκολλο είναι επίσης υπεύθυνο για την ανάγνωση του PIN της κάρτας μέσω των PοS και την αποστολή του πίσω στο κεντρικό σταθμό για να επιτρέψει τη συναλλαγή.
Αν και η επικοινωνία αυτή γίνεται κρυπτογραφημένη, οι ερευνητές διαπίστωσαν ότι οι PoS (Point of Sale) κατασκευαστές αποθηκεύουν το κλειδί κρυπτογράφησης στη συσκευή, και συχνά χρησιμοποιούν τον ίδιο κλειδί.
… Ευάλωτα στο εξωτερικό
Ανάμεσα στο τερματικό PοS και στην τράπεζα, τα πράγματα δεν είναι τόσο ρόδινα. Το πρωτόκολλο που χρησιμοποιείται για την ανταλλαγή δεδομένων μεταξύ αυτών των δύο, μια παραλλαγή του προτύπου ISO 8583, γνωστή ως Poseidon, διαθέτει ένα ελάττωμα ελέγχου ταυτότητας.
Επαναλαμβάνοντας το ίδιο λάθος, οι κατασκευαστές PoS αποθηκεύουν επίσης το κλειδί κρυπτογράφησης που χρησιμοποιείται για την ανταλλαγή κρυπτογραφημένων δεδομένων με τρίτα μέρη. Αυτό το κλειδί είναι αποθηκευμένο στην ίδια τη συσκευή και σπάνια αλλάζει, είναι τις περισσότερες φορές το ίδιο για ολόκληρο παρτίδες τερματικών PοS.
Οι ερευνητές έχουν προγραμματιστεί να κάνουν μια εκτεταμένη παρουσίαση σχετικά με το θέμα αυτό την Κυριακή στις 27 Δεκεμβρίου στο Αμβούργο στο 32ο Συνέδριο Επικοινωνίας Chaos (32C3).