Skip to Main Content
Mobile point of sale systems: Hackers only need 5 minutes to get your PIN

POS mobili: agli hacker bastano 5 minuti per impossessarsi del PIN

È una situazione abbastanza comune: ceni in un piccolo ristorantino, trascorri una bella serata con gli amici e alla fine arriva il conto. Di solito paghi in contanti, ma questa volta non ne hai abbastanza. Nessun problema, il personale ti lascia pagare con la carta. Paghi e vai a casa. Un paio di giorni dopo, mentre controlli il tuo estratto conto ti accorgi che l’importo addebitato è leggermente superiore a quello che avresti dovuto pagare. Di poco, ma comunque superiore … Chiarire il disguido richiederebbe tempo e quindi se l’importo non è troppo alto, potresti decidere di lasciar perdere.

Secondo alcuni ricercatori nel campo della sicurezza questo può accadere specialmente se il ristorante dove hai cenato o il negozio dove hai fatto acquisti utilizza uno di quei bei terminali di pagamento connessi a uno smartphone o a un tablet.

Sistemi POS mobili a basso costo = sicurezza scadente

Sono ridotti, poco costosi e quindi perfetti per aziende e ristoranti nuovi e di piccole dimensioni, furgoni-ristorante, bancarelle e chioschi: sono i sistemi POS mobili a basso costo. Purtroppo però sembra che questi POS siano colmi di vulnerabilità che potrebbero permettere agli hacker di rubare i dati delle carte di credito e modificare l’importo pagato.

I ricercatori di Positive Technologies hanno esaminato sette terminali che costano meno di 50 dollari, alcuni dei quali addirittura di società note del calibro di PayPal e Square. I risultati non sono molto promettenti. Cinque dispositivi mostrano vulnerabilità di sicurezza che permetterebbero ai pirati informatici di raggirare i clienti facendoli pagare più del dovuto, mentre due dispositivi consentono di leggere i codici PIN in chiaro.

Per sfruttare la prima vulnerabilità, gli hacker, o i commercianti malintenzionati, devono ricorrere alla tecnologia Bluetooth e a una forma di accoppiamento non sicura utilizzate dai lettori. A questo punto i pirati informatici possono modificare gli importi: il conto finale sarà quindi più alto dell’importo che il cliente visualizza sul lettore.

La seconda vulnerabilità, che permetterebbe agli hacker di sottrarre i codici PIN, è stata rilevata soltanto sui dispositivi prodotti da Miura. Sembra che sia PayPal che Square li utilizzassero, per lo meno fino ad ora. L’attacco è un po’ più complicato, perché prevede che i criminali installino precedentemente una vecchia versione del firmware. Ma è anche vero che un attacco di questo tipo (incluso l’eventuale ripristino del vecchio firmware e l’avvio dell’exploit del dispositivo) richiederebbe solo un paio di minuti.

I problemi sono in via di risoluzione, ma in circolazione ci sono ancora dispositivi vecchi

Sebbene tutte le aziende stiano lavorando per risolvere i problemi e garantire l’assenza di vulnerabilità in futuro, in circolazione ci sono ancora dispositivi vecchi che continueranno a non essere sicuri. Nessuno può prevedere per quanto tempo rimarranno in servizio e quanti di essi continueranno a essere usati per scopi illeciti.

Questo articolo è disponibile anche in: IngleseTedescoFrancese

PR & Social Media Manager @ Avira |Gamer. Geek. Tech addict.