Allarme sicurezza: i POS sotto attacco a causa di una vulnerabilità su Android

La scoperta inquietante

Durante il prossimo No Hat 2024, l'importante convegno sulla sicurezza informatica che si terrà il 19 ottobre presso il Centro Congressi Giovanni XXIII di Bergamo, l'ingegnere informatico e penetration tester Jacopo Jannone presenterà una ricerca destinata a scuotere il settore dei pagamenti digitali. La sua analisi rivela una serie di vulnerabilità critiche nei dispositivi POS di ultima generazione che potrebbero consentire la clonazione di carte di credito e bancomat.

La transizione verso i pagamenti digitali ha portato indubbi benefici: dalla lotta all'evasione fiscale alla sostenibilità ambientale, tanto che in diverse nazioni europee alcune attività commerciali accettano esclusivamente pagamenti elettronici. Tuttavia, questa evoluzione tecnologica nasconde insidie precedentemente impensabili.

I nuovi Smart POS, come evidenziato da Jannone, sono essenzialmente "smartphone dedicati ai pagamenti", dotati di sistema operativo Android e funzionalità avanzate. "Mentre i vecchi terminali con display LCD e tastierino numerico presentavano una struttura semplice e limitata", spiega il ricercatore, "i dispositivi di nuova generazione offrono possibilità di interazione molto più sofisticate, inclusa la connettività USB. Proprio questa complessità amplia notevolmente la superficie di attacco disponibile per potenziali criminali informatici."

Anatomia di una vulnerabilità

La ricerca evidenzia come sia possibile alterare il funzionamento del dispositivo per intercettare e trasmettere le informazioni delle carte durante le transazioni. Un aspetto rassicurante è che l'attacco richiede necessariamente l'accesso fisico al terminale, escludendo quindi la possibilità di compromissioni remote. Tuttavia, questo non elimina scenari preoccupanti.

"Se è vero che dati come numero carta e scadenza sono visibili fisicamente", precisa Jannone, "la vera minaccia risiede nella possibilità di catturare il PIN durante la digitazione." Gli scenari di attacco identificati includono due varianti principali:

• Compromissione interna: l'operatore stesso potrebbe modificare il dispositivo per scopi fraudolenti
  
• Attacco alla supply chain: la manomissione potrebbe avvenire durante la distribuzione dei terminali

Nel proof of concept sviluppato dal ricercatore, l'esfiltrazione dei dati richiede una connessione alla stessa rete Wi-Fi del dispositivo compromesso. Tuttavia, Jannone non esclude la possibilità di varianti più sofisticate che potrebbero permettere la trasmissione dei dati attraverso internet.

Prospettive future

Questa scoperta solleva importanti questioni sulla sicurezza dei sistemi di pagamento moderni. Mentre la digitalizzazione procede inarrestabile, diventa cruciale bilanciare innovazione e sicurezza. La ricerca di Jannone evidenzia la necessità di un approccio più rigoroso alla progettazione e implementazione dei dispositivi di pagamento, considerando la sicurezza come requisito fondamentale fin dalle prime fasi di sviluppo. La presentazione completa delle vulnerabilità al No Hat 2024 fornirà ulteriori dettagli tecnici e, si spera, stimolerà un dibattito costruttivo nel settore sulla necessità di standard di sicurezza più elevati per i dispositivi di pagamento di nuova generazione.