کشف آسیب پذیری در کارت‌خوان‌های سیار

طبق گفته پژوهشگران، مهاجمان نه تنها می‌توانند مقدار هزینه کسر شده از کارت اعتباری را تغییر دهند، بلکه می‌توانند مشتریان را وادار کنند تا از سایر روش‌های پرداخت مانند magstripe استفاده کنند تا نفوذ و استخراج اطلاعات آسان‌تر شود. سرویس‌های موبایل POS در کارت‌خوان‌های موبایلی استفاده شده‌اند و به‌عنوان راه‌حلی جانبی و ارزان‌تر برای کسب‌وکارهای کوچک و متوسط به منظور پرداخت در نظر گرفته می‌شوند. این دستگاه‌ها از طریق بلوتوث با برنامه‌های موبایلی ارتباط برقرار می‌کنند تا داده‌ها را به سرورهای ارائه‌دهنده سرویس پرداخت ارسال کنند.  بررسی‌ها نشان می‌دهد مجموعه‌ای از آسیب‌پذیری‌ها در سیستم‌های پرداخت این سرویس‌ها کشف شده است. برای مثال نقص‌های امنیتی که به مهاجمان اجازه می‌دهد حملاتی از نوع مردی در میانه (MiTM) را انجام دهند و گزینه‌ای برای مداخله در مقادیر پرداخت تراکنش‌ها و انتقال کد دلخواه از طریق بلوتوث و برنامه‌های موبایلی ایجاد کنند.

 مهاجم می‌تواند با مداخله در تراکنش‌ها، مقادیر را دستکاری کند و به ترافیک تراکنش‌ها دسترسی یابد. پژوهشگران نقص‌ها را به سازندگان دستگاه‌های POS که به آنها اشاره شد، ارسال کرده‌اند تا مشکلات را رفع کنند. علاوه بر آسیب‌پذیری‌های کشف شده در دستگاه‌های کارتخوان موبایلی (موبایل POSها)، دو آسیب‌پذیری دیگر شامل CVE-۲۰۱۷-۱۷۶۶۸ و CVE-۲۰۱۸-۵۷۱۷ نیز کشف شده‌اند که ATMهای تولیدی کمپانی NCR را تحت تاثیر قرار می‌دهند. این نقص‌های امنیتی به مهاجمان اجازه می‌دهد حملات جعبه سیاه را با بهره‌گیری از امنیت فیزیکی ضعیف برای نفوذ به شبکه و گرفتن پول نقد از دستگاه‌های خودپرداز انجام دهند. البته NCR وصله‌هایی برای رفع آسیب‌پذیری‌های اعلام شده منتشر کرده است.