Еще не так давно под взломом POS-системы подразумевалось использование RAM-scraper, собирающего данные о номерах карт. Теперь же POS-системы стали мобильными, и такие вендоры, как Square, Intuit, Revel и другие, предлагают свои приложения и устройства, которые могут быть подключены к планшетам и смартфонам. Естественно, злоумышленники в скором времени доберутся и до таких систем.

Двое выпускников Бостонского университета на проходившей на минувшей неделе конференции Black Hat представили доклад о том, как взломать аппаратную и программную части популярного устройства Square Reader, обойти шифрование на устройстве, украсть платежную информацию и получить возможность использовать playback-атаки.

Александреа Меллен (Alexandrea Mellen) и Джон Мур (John Moore) заявили, что могут превратить Square Reader в скиммер менее чем за 10 минут, добавив, что подобное можно сделать и с аппаратно-программными решениями других вендоров.

«Одной из причин, по которой нас заинтересовало исследование мобильных POS-систем, является то, что подобные системы сейчас появляются с поражающей быстротой и каждый вендор привносит что-то уникальное в реализацию такой системы. Они дешевы, компактны и взаимосовместимы, — заявила Меллен. — Они также далеко не всегда адекватно защищены. Малые бюджеты, выделенные на разработку аппаратной части, и способность этих устройств подключаться к смартфонам, обычно используемым для других целей, делают информацию о банковской карте клиента уязвимой, а сами устройства менее безопасными».

Меллен и Мур заявили, что их атаки на аппаратную и программную части могут быть использованы отдельно друг от друга. Атака на аппаратную часть требует практики, ибо вскрыть пластиковую оболочку Square Reader не так-то и просто, однако исследователи отметили, что со временем у них стало гораздо лучше получаться. После вскрытия оболочки требуется создать навесную перемычку между оголенными контактами, которая позволит обойти криптографический чип.

«Для применения этой атаки понадобятся вещи, которые вы можете достать в магазинах сети Radio Shack, и у большинства людей [присутствующих на Black Hat] они есть в гараже: отвертка, провода, паяльник и кусачки, — заявила Меллен. — Самое сложное — вскрыть пластиковую оболочку».

Что же касается программной части, то, когда карта считывается Square Reader, полученные данные конвертируются в WAV-файл, который передается через микрофонный разъем приложению Square Register, которое уже, в свою очередь, пересылает их на обработку на сервера Square. Исследователи разработали приложение, способное перехватить аудиофайл и данные, конвертировать их и таким образом позволить атакующему снова воспользоваться атакой позднее столько раз, сколько ему будет угодно.

Square приняла меры по противодействию, отказавшись от поддержки старых моделей Reader, и теперь они больше не могут быть использованы приложением Square Register. Меллен, однако, отметила, что их атака работает в обход приложения Register.

«Наше приложение перехватывает сигнал после того, как он пройдет обработку на устройстве, — заявила Меллен. — Далее мы расшифровываем WAV-файл и таким образом получаем информацию о банковской карте, которую пересылаем обратно нашему приложению».

Меллен и Мур заявили, что их атака основа на уязвимости, присущей Square Reader, — при расшифровке данных на стороне сервера не происходит проверка счетчика транзакций. Атакующие могут воспользоваться этим, совершив несколько проводов картой и использовав полученные данные дни, недели или даже месяцы спустя, пока они не будут отправлены на сервера Square.

«Любые данные, снятые при оплате картой и не использованные для инициации транзакций, могут быть повторно использованы для совершения новых транзакций на произвольную сумму, — гласит описание уязвимости, которое они передали HackerOne, получив награду в размере $500. — Сервер примет в обработку операцию, совершенную картой, даже несмотря на то, что у Square имеется возможность отклонить транзакцию из-за некорректного значения счетчика транзакций».

Представители Square заявили, что проблема вызвана магнитными полосами на картах, а не их оборудованием или программным обеспечением.

«Любой кардридер, присутствующий сейчас на рынке, может быть разобран. Чип можно сломать, а затем снова собрать, используя неповрежденную оболочку считывающего устройства. У нас в Square есть механизмы, призванные предотвратить использование поврежденных устройств в злонамеренных целях, — заявили представители Square. — Наше ПО Square Register содержит массу мер безопасности, которые защищают карты, используемые незашифрованными считывающими устройствами. Если же наши защищенные устройства были повреждены, то они более не будут восприниматься нашими системами».

Категории: Уязвимости