Allarme sicurezza: i POS sotto attacco a causa di una vulnerabilità su Android

Un ricercatore italiano ha scoperto gravi vulnerabilità nei POS Android che permettono di rubare dati di carte di credito e bancomat tramite accesso fisico al dispositivo, evidenziando i rischi dell'evoluzione tecnologica nei sistemi di pagamento.
di Bruno Mucciarelli pubblicata il 18 Ottobre 2024, alle 08:25 nel canale SicurezzaAndroid
La scoperta inquietante
Durante il prossimo No Hat 2024, l'importante convegno sulla sicurezza informatica che si terrà il 19 ottobre presso il Centro Congressi Giovanni XXIII di Bergamo, l'ingegnere informatico e penetration tester Jacopo Jannone presenterà una ricerca destinata a scuotere il settore dei pagamenti digitali. La sua analisi rivela una serie di vulnerabilità critiche nei dispositivi POS di ultima generazione che potrebbero consentire la clonazione di carte di credito e bancomat.
La transizione verso i pagamenti digitali ha portato indubbi benefici: dalla lotta all'evasione fiscale alla sostenibilità ambientale, tanto che in diverse nazioni europee alcune attività commerciali accettano esclusivamente pagamenti elettronici. Tuttavia, questa evoluzione tecnologica nasconde insidie precedentemente impensabili.
I nuovi Smart POS, come evidenziato da Jannone, sono essenzialmente "smartphone dedicati ai pagamenti", dotati di sistema operativo Android e funzionalità avanzate. "Mentre i vecchi terminali con display LCD e tastierino numerico presentavano una struttura semplice e limitata", spiega il ricercatore, "i dispositivi di nuova generazione offrono possibilità di interazione molto più sofisticate, inclusa la connettività USB. Proprio questa complessità amplia notevolmente la superficie di attacco disponibile per potenziali criminali informatici."
Anatomia di una vulnerabilità
La ricerca evidenzia come sia possibile alterare il funzionamento del dispositivo per intercettare e trasmettere le informazioni delle carte durante le transazioni. Un aspetto rassicurante è che l'attacco richiede necessariamente l'accesso fisico al terminale, escludendo quindi la possibilità di compromissioni remote. Tuttavia, questo non elimina scenari preoccupanti.
"Se è vero che dati come numero carta e scadenza sono visibili fisicamente", precisa Jannone, "la vera minaccia risiede nella possibilità di catturare il PIN durante la digitazione." Gli scenari di attacco identificati includono due varianti principali:
- Compromissione interna: l'operatore stesso potrebbe modificare il dispositivo per scopi fraudolenti
- Attacco alla supply chain: la manomissione potrebbe avvenire durante la distribuzione dei terminali
Nel proof of concept sviluppato dal ricercatore, l'esfiltrazione dei dati richiede una connessione alla stessa rete Wi-Fi del dispositivo compromesso. Tuttavia, Jannone non esclude la possibilità di varianti più sofisticate che potrebbero permettere la trasmissione dei dati attraverso internet.
Prospettive future
Questa scoperta solleva importanti questioni sulla sicurezza dei sistemi di pagamento moderni. Mentre la digitalizzazione procede inarrestabile, diventa cruciale bilanciare innovazione e sicurezza. La ricerca di Jannone evidenzia la necessità di un approccio più rigoroso alla progettazione e implementazione dei dispositivi di pagamento, considerando la sicurezza come requisito fondamentale fin dalle prime fasi di sviluppo. La presentazione completa delle vulnerabilità al No Hat 2024 fornirà ulteriori dettagli tecnici e, si spera, stimolerà un dibattito costruttivo nel settore sulla necessità di standard di sicurezza più elevati per i dispositivi di pagamento di nuova generazione.
2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".