Pesquisadores divulgaram um relatório que analisa sete leitores móveis de cartões de crédito de quatro fornecedores populares (SumUp, iZettle, PayPal e Square) nos EUA e na Europa. Dentre as descobertas, foram constatadas vulnerabilidades em mais da metade dos principais terminais POS móveis.
A equipe avaliou a segurança das comunicações entre o dispositivo usado para processar um pagamento e o servidor. Além disso, os pesquisadores examinaram os mecanismos de segurança dentro do terminal POS móvel, a aplicação móvel usada com os terminais e fatores secundários que afetam a segurança, como as verificações feitas durante a inscrição.
Ao todo, foram encontrados vários vetores de ataque; por exemplo, dois dos terminais (que não foram especificados) permitiam que um fraudador realizasse um comando arbitrário para manipular uma mensagem na tela. “Esse vetor pode ser usado para exibir uma mensagem de pagamento recusado como forma de fazer com que o titular do cartão realize transações adicionais”, explicou um dos especialistas.
Dois terminais também foram considerados vulneráveis à execução remota de código (RCE), podendo conceder aos atacantes acesso total aos sistemas operacionais dos dispositivos e aos dados do cartão de pagamento processados, o que inclui números de contas e datas de vencimento.
Artigo originalmente publicado no aplicativo Tempest Soundbites, disponível para clientes da Tempest em versões para Android e iOS. Para obter uma credencial, fale com seu gerente de relacionamento.