Una catena di vulnerabilità che permetterebbero di sottrarre le informazioni di carte di credito e Bancomat sui POS basati su sistema operativo Android. A individuarle è stato Jacopo Jannone, un ingegnere informatico e penetration tester italiano che illustrerà la sua ricerca nel corso di un talk al No Hat 2024, la sesta edizione del convegno organizzato da Berghem-in-the-Middle che si terrà il prossimo sabato 19 ottobre al Centro Congressi Giovanni XXIII – Viale Papa Giovanni XXIII 106.
L’anello debole dei pagamenti digitali
La digitalizzazione dei pagamenti rappresenta un indubbio salto di qualità a livello tecnologico, ma anche sociale. I pagamenti su digitale non solo contribuiscono a ridurre il fenomeno dell’evasione fiscale, ma hanno anche un impatto positivo sull’ambiente. Nel nord Europa, per esempio, capita spesso di incappare in locali e negozi che permettono solo pagamenti tramite carta di credito e Bancomat, considerati più “ecologici” rispetto ai contanti, la cui produzione (e distribuzione) impatta sull’ambiente.
Il lato negativo, però, è quello legato alla possibilità che le transazioni vengano intercettate o che le informazioni delle carte siano sottratte e utilizzate per clonarle. Una tecnica che passa sotto il nome di skimming, ma che prevede normalmente tecniche piuttosto artigianali, come l’uso di videocamere per riprendere la digitazione del PIN nel momento in cui viene utilizzata la carta. La tecnica individuata da Jacopo Jannone, invece, ha le caratteristiche di un classico attacco hacker e permette di attingere alle informazioni direttamente dalla fonte.
Quando i POS sono troppo “smart”
Alla base della vulnerabilità ci sono le caratteristiche dei nuovi Smart POS (Point Of Sale) che, lentamente ma inesorabilmente, stanno rimpiazzando i vecchi dispositivi che siamo abituati a utilizzare nei punti vendita.
“I vecchi dispositivi con tastierino e display a cristalli liquidi hanno funzionalità limitate e una struttura molto semplice” spiega Jacopo Jannone. “Le nuove generazioni di POS sono invece dei dispositivi molto simili a un qualsiasi smartphone. Questo significa che hanno un sistema operativo Android e, in particolare, permettono livelli di interazione molto più complessi, per esempio il collegamento tramite usb. Sono proprio queste caratteristiche che aumentano a dismisura la superficie di attacco di un eventuale cyber criminale”.
Insomma: l’evoluzione dei dispositivi dedicati ai pagamenti, oltre a fornire nuove funzionalità e una maggiore versatilità, espongono a un maggiore rischio. Nel caso specifico, consentirebbero di modificare il funzionamento dello Smart POS per fare in modo che le informazioni memorizzate all’interno della carta siano inviate automaticamente a un cyber criminale.
Mutuo 100% per acquisto in asta
assistenza e consulenza per acquisto immobili in asta
Un hacking “fisico” per rubare i dati: gli scenari di un possibile attacco
Fortunatamente, le vulnerabilità individuate da Jannone non possono essere sfruttate in remoto. “Per compromettere il POS è necessario avere accesso fisico al dispositivo” spiega il ricercatore. Una buona notizia, che però lascia campo aperto a varie ipotesi di sfruttamento delle vulnerabilità. Il primo è che la “modifica” nel software del dispositivo venga fatta direttamente dall’operatore del POS. Con quali vantaggi? Per esempio la possibilità di clonare un Bancomat e poterlo utilizzare a proprio piacimento.
“La maggior parte delle informazioni che identificano carte di credito e Bancomat, come il numero di serie e la data di scadenza, sono visibili sulla carta stessa e, di conseguenza, potrebbero essere sottratti senza troppi problemi anche con strumenti ‘analogici’, per esempio una semplice fotografia” spiega Jannone. “Le cose cambiano per quanto riguarda il PIN. La catena di vulnerabilità che ho individuato permette infatti di registrarlo nel momento in cui viene digitato”.
Uno scenario ulteriore è quello di un attore malevolo che riesca, in qualche modo, a modificare i dispositivi intervenendo nella filiera di consegna dei POS stessi. In questo caso non sarebbe necessario il coinvolgimento dell’esercente, ma il furto di informazioni sarebbe comunque garantito e, potenzialmente, su vasta scala.
“Nel Proof of Concept che ho realizzato il collegamento per sottrarre i dati richiede un collegamento alla stessa rete wi-fi del dispositivo” specifica Jannone. “Non è escluso, però, che sia possibile mettere a punto varianti dell’attacco che consentano una trasmissione via web”.
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Mutuo asta 100%
Assistenza consulenza acquisto in asta
Informativa sui diritti di autore
La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni: la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.
Vuoi richiedere la rimozione dell’articolo?
Clicca qui
***** l’articolo pubblicato è ritenuto affidabile e di qualità*****
Visita il sito e gli articoli pubblicati cliccando sul seguente link
Informativa sui diritti di autore
La legge sul diritto d’autore art. 70 consente l’utilizzazione libera del materiale laddove ricorrano determinate condizioni: la citazione o riproduzione di brani o parti di opera e la loro comunicazione al pubblico sono liberi qualora siano effettuati per uso di critica, discussione, insegnamento o ricerca scientifica entro i limiti giustificati da tali fini e purché non costituiscano concorrenza all’utilizzazione economica dell’opera citata o riprodotta.
Vuoi richiedere la rimozione dell’articolo?
Clicca qui
Finanziamo strutture per affitti brevi
