Allarme sicurezza: i POS sotto attacco a causa di una vulnerabilità su Android

Allarme sicurezza: i POS sotto attacco a causa di una vulnerabilità su Android

Un ricercatore italiano ha scoperto gravi vulnerabilità nei POS Android che permettono di rubare dati di carte di credito e bancomat tramite accesso fisico al dispositivo, evidenziando i rischi dell'evoluzione tecnologica nei sistemi di pagamento.

di pubblicata il , alle 08:25 nel canale Sicurezza
Android
 
La rivoluzione digitale nei pagamenti elettronici potrebbe nascondere un pericoloso tallone d'Achille. Una recente ricerca condotta da un esperto italiano di sicurezza informatica ha rivelato come i moderni terminali POS basati su Android possano essere compromessi, esponendo i dati sensibili dei consumatori a rischi significativi.

La scoperta inquietante

Durante il prossimo No Hat 2024, l'importante convegno sulla sicurezza informatica che si terrà il 19 ottobre presso il Centro Congressi Giovanni XXIII di Bergamo, l'ingegnere informatico e penetration tester Jacopo Jannone presenterà una ricerca destinata a scuotere il settore dei pagamenti digitali. La sua analisi rivela una serie di vulnerabilità critiche nei dispositivi POS di ultima generazione che potrebbero consentire la clonazione di carte di credito e bancomat.

La transizione verso i pagamenti digitali ha portato indubbi benefici: dalla lotta all'evasione fiscale alla sostenibilità ambientale, tanto che in diverse nazioni europee alcune attività commerciali accettano esclusivamente pagamenti elettronici. Tuttavia, questa evoluzione tecnologica nasconde insidie precedentemente impensabili.

I nuovi Smart POS, come evidenziato da Jannone, sono essenzialmente "smartphone dedicati ai pagamenti", dotati di sistema operativo Android e funzionalità avanzate. "Mentre i vecchi terminali con display LCD e tastierino numerico presentavano una struttura semplice e limitata", spiega il ricercatore, "i dispositivi di nuova generazione offrono possibilità di interazione molto più sofisticate, inclusa la connettività USB. Proprio questa complessità amplia notevolmente la superficie di attacco disponibile per potenziali criminali informatici."

Anatomia di una vulnerabilità

La ricerca evidenzia come sia possibile alterare il funzionamento del dispositivo per intercettare e trasmettere le informazioni delle carte durante le transazioni. Un aspetto rassicurante è che l'attacco richiede necessariamente l'accesso fisico al terminale, escludendo quindi la possibilità di compromissioni remote. Tuttavia, questo non elimina scenari preoccupanti.

"Se è vero che dati come numero carta e scadenza sono visibili fisicamente", precisa Jannone, "la vera minaccia risiede nella possibilità di catturare il PIN durante la digitazione." Gli scenari di attacco identificati includono due varianti principali:

  • Compromissione interna: l'operatore stesso potrebbe modificare il dispositivo per scopi fraudolenti
  • Attacco alla supply chain: la manomissione potrebbe avvenire durante la distribuzione dei terminali

Nel proof of concept sviluppato dal ricercatore, l'esfiltrazione dei dati richiede una connessione alla stessa rete Wi-Fi del dispositivo compromesso. Tuttavia, Jannone non esclude la possibilità di varianti più sofisticate che potrebbero permettere la trasmissione dei dati attraverso internet.

Prospettive future

Questa scoperta solleva importanti questioni sulla sicurezza dei sistemi di pagamento moderni. Mentre la digitalizzazione procede inarrestabile, diventa cruciale bilanciare innovazione e sicurezza. La ricerca di Jannone evidenzia la necessità di un approccio più rigoroso alla progettazione e implementazione dei dispositivi di pagamento, considerando la sicurezza come requisito fondamentale fin dalle prime fasi di sviluppo. La presentazione completa delle vulnerabilità al No Hat 2024 fornirà ulteriori dettagli tecnici e, si spera, stimolerà un dibattito costruttivo nel settore sulla necessità di standard di sicurezza più elevati per i dispositivi di pagamento di nuova generazione.

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
TorettoMilano18 Ottobre 2024, 08:38 #1
se si paga con apple pay c'è ben poco da clonare, immagino lo stesso sia con google pay. personalmente la carta fisica non ricordo nemmeno quando l'ho utilizzata l'ultima volta, 2 anni fa? boh
io78bis18 Ottobre 2024, 09:32 #2
fortunatamente la notifica o monitoraggio delle transazioni ti permette di rilevare velocemente l'eventuale clonazione

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^