Один из наиболее распространенных в Европе терминалов для осуществления электронных транзакций Hypercom Artema Hybrid от VeriFone содержит критическую уязвимость, которая позволяет получить PIN код и данные электронной пластиковой карты жертвы. В отличие от стандартных атак на платежные терминалы, данная атака не требует у преступника получения физического доступа к устройству.
Исследователи безопасности из SRLabs разработали метод, с помощью которого, подключившись к терминалу через протокол TCP\IP, можно вызвать у него переполнение буфера и получить контроль над ARM процессором. При осуществлении атаки криптографический модуль Hardware Security Module (HSM) остается незатронутым.
Преступники могут не вызывая подозрений у жертвы скопировать данные кредитной карты, а также получить ее PIN код. Успешная атака позволяет создать копию пластиковой карты и, с помощью PIN кода, снять с нее все средства.
Последним рубежом обороны от данной угрозы является защита корпоративных сетей отелей, супермаркетов и других заведений, активно принимающих безналичный расчёт. Внедрение в одну из таких сетей может поставить под угрозу безопасность банковских данных большого количества людей.
Представители SRLabs сообщили heise Security о том, что производитель устройств Hypercom Artema Hybrid был уведомлен об уязвимости еще в марте текущего года. Переговоры с поставщиком терминалов проходили очень вяло, и исследователи приняли решение сообщить о своем открытии общественности.
Источник: securitylab
|
