На хакерской конференции показали уязвимости платежных терминалов
Демонстрация уязвимостей состоялась на хакерской конференции Black Hat USA 2012 в Лас-Вегасе. Работу представляли два докладчика – глава исследовательского отдела из Германии, именующий себя просто «Нильс», и испанский консультант компании MWR по имени Рафаэль Доминигес Вега (Rafael Dominguez Vega). Нильс и Вега показали потенциальные уязвимости на примере трех наиболее популярных POS-терминалов: две модели, популярные в Великобритании (и частично в США), а третья модель очень широко используется в США.
Авторы работы отказались называть производителей и конкретные модели терминалов, ссылаясь на то, что производители должны получить достаточно времени на внесение исправлений.
Во время демонстрации названия были заклеены и идентифицировать устройства было невозможно.
Уязвимость двух популярных в Британии терминалов связана с технологиями оплаты. В частности, злоумышленник может контролировать экран терминала, принтер чеков, считыватель платежных карт и клавиатуру для ввода ПИН-кодов. Кроме того, была показана возможность применения специально изготовленных смарт-карт со встроенным чипом. Такие карты могут содержать вредоносный код внутри чипа – этот код исполняется на устройстве и встраивается в ПО считывателя. В ходе демонстрации авторы смогли установить со смарт-карты игру с гонками на всех трех терминалах, а потом показали возможность управлять игрой с помощью ПИН-клавиатуры и экрана.
На втором (американском) устройстве исследователи применили такой же метод для установки троянца, записывающего номера карт и ПИН-кодов. Записанную информацию они извлекли с помощью еще одной подложной смарт-карты, вставив ее в считыватель. Еще один способ использования этой уязвимости – обман работников торговых точек. С помощью фальшивой смарт-карты можно убедить их, что платеж одобрен банком (на печать выводится фальшивый чек, терминал отображает подтверждение), а потом забрать товар, хотя деньги фактически не перечислены. Также существует возможность полного копирования данных с магнитной ленты на карте – это позволяет полностью клонировать карту. Для этого вредоносное ПО может заблокировать платеж со смарт-карты, принудив добропорядочного покупателя переключиться на карту с магнитной полосой.
Третий терминал, популярный в США, оказался сложнее для взлома, чем первые два устройства. У него есть сенсорный экран для удобного ввода подписей, считыватель смарт-карт и СИМ-карта для работы в мобильных сетях, USB-порт, Ethernet-порт, а также административный интерфейс для локального и удаленного управления. Как оказалось, канал удаленного управления в этом терминале не шифруется. Если преступник получит доступ к локальному сетевому порту терминала, появляется возможность подмены ARP-маршрутов и DNS-имен, чтобы терминал исполнял команды с фальшивого сервера управления. В ходе демонстрации авторы смогли удаленно включить сервис консольного управления Telnet и войти в систему с правами суперпользователя «root».
Как пояснили докладчики, уровень доверия к платежным терминалам слишком высок. В начале июля другая группа экспертов по безопасности показала уязвимости платежного терминала, распространенного в Германии. С помощью этих уязвимостей злоумышленники могут компрометировать терминал по локальной сети, выполняя кражу ПИН-кодов и данных с магнитной полосы на картах.
Представители компании MWR подчеркнули, что у них нет доказательств уязвимости на других моделях терминалов от других производителей. Тем не менее, они уверены, что ни одну систему нельзя считать совершенной. Уже известно, что производители получили информацию о найденных проблемах, а один из них даже выпустил соответствующее исправление. Тем не менее, сертификация и развертывание этого исправления может занять некоторое время.
По материалам сайта PC World.