есть ли уязвимости в мобильных платежных терминалах пособия
В миллионах мобильных терминалов были обнаружены опасные уязвимости
Миллионы мобильных POS-терминалов были подвержены опасным уязвимостям, которые позволяли мошенникам похищать средства с банковских карт, сообщает Forbes.
Как рассказали ИБ-специалисты Тимур Юнусов и Алексей Стенников на конференции Black Hat EU,
в миллионах платежных устройств Verifone и Ingenico, являющихся крупнейшими производителями на рынке, использовались пароли по умолчанию, позволявшие любому человеку, который находился рядом, попасть в сервисное меню терминала.
С помощью этого меню злоумышленник мог записать на устройство вредоносное ПО, которое перехватывает данные кредитных карт, когда ими оплачивают покупку.
Устройства обычно зашифровывают данные кредитных карт, но делают это в той же внутренней системе, которая уже контролируется вредоносной программой, что делает эту функцию бесполезной. Таким образом, мошенник получает всю необходимую информацию, чтобы начать списывать средства с карты.
Единственная сложность, с которой могут столкнуться злоумышленники, это получение доступа к терминалу. Для того, чтобы установить вредоносный софт, мошеннику требуется прямой доступ к устройству и достаточно длительный промежуток времени. По оценке исследователей, на это у хакера уйдет от пяти до десяти минут.
Также злоумышленник мог получить несанкционированный доступ к POS-терминалу при помощи взлома внутренней IT-системы магазина.
«В большинстве случаев POS-терминал принадлежит банку, а доступ к нему имеют арендаторы (сотрудники торговых организаций) или компании, осуществляющие техническое обслуживание. Используя обнаруженные уязвимости, недобросовестный сотрудник может воспользоваться физическим доступом к устройству для его модификации. По нашим оценкам, до 90% POS-терминалов, подверженных этим уязвимостям, продолжают работать в торговых организациях», — заявил один из исследователей Тимур Юнусов.
Представитель компании Verifone сообщил о том, что затронутые устройства были «устаревшими», и компания не знала об уязвимостях, используемых хакерами.
«Наши последние исправления и обновления программного обеспечения, доступные для всех клиентов, устраняют эти уязвимости. В настоящее время заказчики находятся на разных этапах внедрения этих исправлений», — добавил он.
Представитель Ingenico также подтвердил, что все уязвимости были выявлены, и компания сразу же предприняла надлежащие меры безопасности, включающие соответствующие исправления. Также он добавил, что компания внимательно следит за ситуацией, чтобы избежать повторения этой проблемы.
Директор по информационной безопасности компании Oberon Евгений Суханов в беседе с «Газетой.Ru» отметил, что обнаруженные уязвимости в сервисных меню двух крупнейших производителей POS-терминалов оплаты имеют довольно высокий уровень критичности.
«Они открывают широкие возможности для компрометации кредитных карт покупателей, особенно с учетом риска «инсайдерского» мошенничества», — сказал Суханов.
Эксперт пояснил, что взломать терминал через интернет не получится, однако после «инфицирования» устройства им можно управлять удаленно и получать копии кредитных и дебетовых карт, которые были на нем использованы.
«Без дополнительных средств защиты периметра магазина (такие решения встречаются не очень часто, особенно в сегменте розничного малого бизнеса) отследить скомпрометированный терминал не получится. Производители уже информированы о найденной уязвимости и в ближайшее время готовят обновление операционной системы терминалов для ее устранения. Учитывая широкий охват таких POS, для покупателей из России данные риски тоже актуальны», — заключил Суханов.
Ради денег: поиск и эксплуатация уязвимостей в мобильных платежных терминалах
Карточные платежи становятся все более популярными. Мобильные платежные терминалы (mPOS-терминалы) способствуют развитию этой тенденции, снижая барьеры входа на рынок карточных платежей для небольших фирм и частных предпринимателей. При этом при определенных условиях операции все еще можно осуществлять во множестве стран (включая Россию) при помощи магнитной полосы. Каждый новый виток технологического прогресса ставит под угрозу платежную экосистему. К каким проблемам безопасности может привести облегчение доступа на рынок карточных платежей? И чем мы рискуем, продолжая полагаться на старые карточные технологии, в частности на магнитную полосу?
За последние годы число операций, осуществляемых с помощью mPOS-терминалов, существенно возросло. Острая конкуренция среди поставщиков mPOS привела к тому, что получить такой платежный терминал стало чрезвычайно просто. Подписание договора занимает меньше пяти минут, а сами mPOS-терминалы зачастую предоставляются бесплатно. Теперь их можно увидеть повсюду. Как и обычные POS-терминалы, они являются конечным звеном платежной инфраструктуры. Это делает их интересными и легко доступными для злоумышленников.
Область исследования
Мы провели оценку продукции ведущих поставщиков mPOS-терминалов: PayPal, Square, iZettle и SumUp. Некоторые из них предоставляют услуги в нескольких регионах мира. Мы постарались получить доступ к услугам в разных регионах, где это было возможно, поскольку процесс платежа, приложения и устройства, а также настройки безопасности отличаются в зависимости от локации.
| Поставщик | Производитель | Терминал | Регион |
|---|---|---|---|
| Square | Square | Терминал для бесконтактных карт и карт с чипом Square (S8) | США |
| Square | Square | Терминал для магнитных карт Square (S4) | США |
| Square | Square | Терминал для бесконтактныхкарт и карт с чипом Square (S8) | Европа |
| Square | Square | Терминал для магнитных карт Square (S4) | Европа |
| Square | Miura Systems | Miura M010 | США |
| SumUp | (not public) | AIR1 E001 | Европа |
| iZettle | DATECS | YRWCRONE | Европа |
| PayPal | Miura Systems | Miura M010 | Европа |
Производители и поставщики mPOS-терминалов
Мы провели анализ безопасности устройств по пяти категориям:
Основные направления исследования
Процесс оплаты
Мы подробно изучили векторы атак и проблемы безопасности карточных платежей. Обнаруженные нами уязвимости ставят под угрозу основные функциональные возможности mPOS-терминала.
Главное отличие mPOS от обычных POS-терминалов заключается в том, что продавец не связан напрямую с банком-эквайером. Вместо этого поставщики mPOS выступают в роли платежных агрегаторов, которые берут комиссию за осуществление транзакции. Такие платежные сервисы не всегда могут гарантировать уровень безопасности, который обеспечивает банк-эквайер. Поставщики mPOS минимизируют риски безопасности по-своему, зачастую перекладывая ответственность за фрод на банк-эквайер. Важно понимать, что такие платежные агрегаторы фактически сами являются продавцами, которые взаимодействуют с банком-эквайером.
Процесс оплаты через mPOS-терминал
Риски при оплате картой
Существуют различные способы карточных платежей. Они зависят от платежной системы, эмитента и страны выпуска. В ходе транзакции карта передает список поддерживаемых методов верификации владельца карты (CVM), который описывает поддерживаемые методы и их приоритет. CVM также регулирует, что должно произойти, если выбранный метод не сработает. В терминале хранится файл конфигурации, в котором также описаны поддерживаемые методы верификации. Терминал сравнивает эти два файла и пытается осуществить транзакцию с помощью первого по приоритету способа. Приоритетный способ должен обеспечивать высокую степень гарантии того, что держатель карты присутствовал при выполнении операции.
Некоторые типы платежей, очевидно, более безопасны, чем другие. Оплата картой с чипом и с помощью ввода PIN-кода считается наиболее безопасным методом, потому что дает высокую степень гарантии, что операция была одобрена держателем карты. Магнитная полоса считается менее безопасной технологией, поскольку злоумышленник легко может клонировать магнитную полосу и хранящиеся на ней данные Track2 и подделать подпись держателя карты. Операции, проведенные с использованием магнитной полосы, не дают уверенности в том, что держатель карты действительно присутствовал при транзакции. В отличие от операций по картам, поддерживающим стандарт EMV, транзакции с использованием магнитной полосы проходят без криптограммы. Это означает, что такие операции не обеспечивают целостность и аутентичность транзакции при ее проведении.
Принятие стандарта EMV
Все больше платежей в мире осуществляется по стандарту EMV (Europay, Mastercard, Visa), то есть с помощью чиповых карт. Однако принятие стандарта в некоторых регионах происходит медленнее, чем в других. В США операции по стандарту EMV составляют менее половины всех транзакций. Большинство операций все еще осуществляется с использованием магнитной полосы. В Европе около 90% всех операций проводится по стандарту EMV.
Результаты исследования
Манипуляция с устройством: отправка произвольных команд
Злоумышленник может подключиться к устройству через Bluetooth и осуществлять произвольные операции. Для этого ему нужна информация о Bluetooth сервисах, запущенных на устройстве, а также соответствующих характеристиках и функциях. Эту информацию можно получить с помощью реверс-инжиниринга до проведения атаки. Злоумышленнику потребуется лишь доступ к mPOS-терминалу, телефон, который поддерживает регистрацию событий интерфейса хост-контроллера (HCI), и мобильное приложение. С помощью регистрации событий HCI злоумышленник попытается получить информацию об основных функциях mPOS-терминала. Для этого он будет проводить пробные операции, используя разные способы оплаты и сравнивая результаты. Когда необходимая информация будет получена, злоумышленник с помощью Wireshark проанализирует коммуникацию между телефоном и mPOS-терминалом. Эта информация, а также данные мобильного приложения, позволят сопоставить функции с их командами и идентификаторами. На рисунке 5 показана отправка сообщения «Вставьте (проведите) карту» на дисплей mPOS-терминала.
Сообщение «Вставьте (проведите) карту» отправлено на дисплей
Если карта вставлена неправильно, на дисплее появляется сообщение об ошибке «Пожалуйста, заберите карту». В журнале HCI мы видим, какой UUID отвечает за отображение текста и пример отправляемых данных.
Сообщение «Пожалуйста, заберите карту» на дисплее mPOS-терминала
Первый пакет Bluetooth отвечает за отправку сообщения «Пожалуйста, заберите карту»
Второй пакет Bluetooth отвечает за отправку сообщения «Пожалуйста, заберите карту» (сообщение разделено на два пакета из-за небольшого максимального размера одного пакета Bluetooth Low Energy).
На рисунке ниже видно, что значение, отправленное на mPOS-терминал, состоит из пяти частей. Оно включает в себя префикс, содержащий идентификатор команды, значение счетчика отправленных команд и размер полезной нагрузки, основной текст в виде символов ASCII, а также постфикс, значение контрольной суммы и завершающий байт.
Элементы двух пакетов, отвечающие за отправку сообщения «Пожалуйста, заберите карту»
В следующем примере терминал использует Bluetooth Classic для коммуникации с телефоном. Мы видим сообщение «Вставьте (проведите) карту», отправленное на дисплей терминала.
Сообщение «Вставьте (проведите) карту» на дисплее mPOS-терминала
Пакет Bluetooth (в окне Wireshark), отвечающий за отправку сообщения «Вставьте (проведите) карту» на дисплей mPOS-терминала
На рисунке ниже видно, что эти данные состоят из трех частей: префикс, сообщение и контрольная сумма. Префикс также содержит счетчик, ID команды и размер полезной нагрузки. Сообщение содержит значение «Вставьте (проведите) карту» в кодировке ASCII. Контрольная сумма — XOR всех байтов сообщения.
Элементы пакета, отвечающие за отправку сообщения «Вставьте (проведите) карту»
С помощью этой информации можно создать произвольную команду и отправить ее на дисплей mPOS-терминала. Три из протестированных нами устройств оказались уязвимы для этого вектора атаки.
| Поставщик | Производитель | Считыватель | Регион |
|---|---|---|---|
| SumUp | (not public) | AIR1 E001 | Европа |
| iZettle | DATECS | YRWCRONE | Европа |
| Square | Square | Square (S8) | США |
Список терминалов, уязвимых для отправки произвольных команд. Несмотря на то что считыватель Square (S8) не имеет дисплея, злоумышленник может отправлять другие произвольные команды.
Этот вектор атаки может использоваться совместно с эксплуатацией других уязвимостей, чтобы предложить клиенту менее безопасные типы операций, например по магнитной полосе. Этот сценарий описан на рисунках 14–16. Кроме того, злоумышленник может отправить сообщение «Платеж отклонен», чтобы вынудить держателя карты провести несколько транзакций.
Держатель карты пытается вставить карту
Сообщение «Пожалуйста, проведите карту», отправленное на дисплей терминала, вынуждает держателя карты использовать магнитную полосу
Операция проведена успешно – для проведенной операции с использованием магнитной полосы требуется оставить подпись.
Подделка суммы
Существуют разные способы перехвата трафика между mPOS-терминалом и сервером платежной системы. Мы уже описали один из них — регистрация событий HCI на мобильном телефоне и анализ полученных результатов. Для этого необходимо включить разработчика (Android Developer Mode). Злоумышленник может пойти другими путями, например перехватить HTTPS-трафик между мобильным приложением и сервером платежной системы. Это возможно, потому что в большинстве случаев сервер платежной системы генерирует команды и отправляет их на mPOS-терминал. Чтобы защитить мобильное приложение от перехвата HTTPS, все поставщики протестированных нами терминалов используют SSL-пиннинг.
На рисунке ниже пример инициализированного платежа, перехваченный двумя разными методами. Мы смогли перехватить HTTPS-трафик с помощью атаки «человек посередине» (man-in-the-middle), а так включили режим отладки. Сумма операции приведена в незашифрованном виде. Значение 0100 соответствует 1,00 £.
Инициализированный платеж, проведенный с помощью mPOS-терминала
Перехватив HTTPS-трафик, мы можем изменить сумму транзакции. Затем необходимо пересчитать контрольную сумму. После этого мы можем отправить измененное значение суммы серверу платежной системы для подтверждения транзакции. Мы обнаружили пять терминалов, уязвимых для модификации суммы при операциях с использованием магнитной полосы.
| Поставщик | Производитель | Считыватель | Регион |
|---|---|---|---|
| SumUp | AIR1 E001 | Европа | |
| iZettle | DATECS | YRWCRONE | Европа |
| Square | Miura | Miura M010 | США |
| Miura | Miura M010 | США | |
| PayPal | |||
| Square | Square | Square | США/Европа |
| Magstripe Reader (S4) |
mPOS-терминалы, уязвимые для подделки суммы
Недобросовестный продавец может обманным путем заставить владельца карты подтвердить операцию на гораздо большую сумму. В ходе операции продавец выводит на дисплей считывателя одну сумму, но при этом сервис провайдеру mPOS-терминала для подтверждения отправляется бо́льшая сумма. Эта атака показана на рисунке ниже.
Слева: сумма, отправленная серверу платежной системы (1,23 £). Справа: сумма, которую видит держатель карты (1 £)
Этой уязвимости подвержены терминалы, поддерживающие операции с использованием магнитной полосы. В ходе операций терминал отправляет только зашифрованные данные Track2; сама операция при этом не заверяется. Этот вектор атаки не сработает, если операция проводится по стандарту EMV, потому что в подобных операциях информация о сумме хранится внутри криптограммы. Бесконтактные платежи PayPass и payWave, которые поддерживают работу в Legacy режимах (PayPass MAGSTRIPE и PayWave MSD) не обеспечивают такого уровня защиты, поскольку информация о сумме также не защищена криптограммой.
Эту атаку можно предотвратить путем использования криптографического контроля целостности полей суммы и валюты и сравнения суммы и валюты операции на считывателе с суммой, подтверждаемой сервис провайдером. Важно отметить, что стандарт PCI DSS (текущая версия 3.2.1), который регулирует хранение, обработку и передачу данных карты, не требует проведения таких проверок в случае операций с использованием магнитной полосы. Для проведения операции требуется лишь передача данных Track2.
Удаленное выполнение кода
Два из протестированных нами терминалов оказались уязвимы для удаленного выполнения кода. Эксплуатация этой уязвимости обеспечивает злоумышленнику полный доступ к операционной системе терминала. После того как злоумышленник получит полный доступ к операционной системе, он сможет перехватить данные Track2 до шифрования или включить незашифрованный режим (для отправки команду) на клавиатуре терминала для перехвата PIN-кода.
| Поставщик | Производитель | Считыватель | Регион |
|---|---|---|---|
| Square | Miura | Miura M010 | США |
| PayPal | Miura | Miura M010 | США |
Список терминалов, уязвимых для удаленного выполнения кода
Ролик Nyan Cat на дисплее терминала Miura M010. Удаленное выполнение кода открывает злоумышленнику полный доступ к операционной системе терминала
Физическая защита
Физические механизмы защиты большинства mPOS-терминалов достаточно надежны. Считыватель магнитных карт Square (S4) не гарантирует уровня безопасности и технологической сложности, характерных для считывателей бесконтактных и чип-карт. Однако это должно быть стандартным требованием к устройству, которое предоставляется продавцу на бесплатной основе. Остальные терминалы обеспечивают должный уровень физической защиты, поддерживают механизмы, препятствующие вскрытию, и прочие меры для предотвращения взлома аппаратного обеспечения.
Механизмы анти-тамперинга
Системы анти-тамперинга помогают предотвратить вскрытие терминала с помощью дрели и прочих инструментов. При попытке вскрытия происходит разрыв электрической цепи, и устройство прекращает работать. Кроме того, большинство считывателей функционируют на основе патентованных стандартов. Без доступа к документации разработчика получить ценную информацию путем физического вскрытия устройства невозможно.
Внутреннее устройство iZettle YRWCRONE
Система для обнаружения попыток вскрытия iZettle YRWCRONE
Заключение
Мы обнаружили, что больше половины mPOS-терминалов уязвимы для атак, при этом в целом уязвимыми оказались все проанализированные нами поставщики mPOS-терминалов. Мы зарегистрировали многочисленные серьезные проблемы безопасности, в частности уязвимость для выполнения произвольных команд, подделке суммы и выполнению удаленного кода.
Аппаратные механизмы защиты терминалов в большинстве случаев надежны и развиты. Однако другие аспекты, например, связанные с мобильным приложением и процедура регистрации, защищены гораздо слабее.
Разработчики mPOS-терминалов подчеркивают простоту регистрации и использования устройств. Это ключевые элементы бизнес-модели, но она не учитывает, что снижение барьеров входа на рынок карточных платежей должно сопровождаться существенным увеличением безопасности. Нет никаких сомнений в том, что мошеннические действия продавцов останутся серьезной проблемой поставщиков mPOS-терминалов. Необходимо разработать серьезный подход к проблеме безопасности, включая проверку в ходе регистрации и строгий мониторинг платежей.
Авторы: Ли-Энн Галлоуэй, Тимур Юнусов, Артем Ивачев, Марк Кэрни, Алексей Стенников | Positive Technologies
Ради денег: поиск и эксплуатация уязвимостей в мобильных платежных терминалах
Карточные платежи становятся все более популярными. Мобильные платежные терминалы (mPOS-терминалы) способствуют развитию этой тенденции, снижая барьеры входа на рынок карточных платежей для небольших фирм и частных предпринимателей. При этом при определенных условиях операции все еще можно осуществлять во множестве стран (включая Россию) при помощи магнитной полосы. Каждый новый виток технологического прогресса ставит под угрозу платежную экосистему. К каким проблемам безопасности может привести облегчение доступа на рынок карточных платежей? И чем мы рискуем, продолжая полагаться на старые карточные технологии, в частности на магнитную полосу?
За последние годы число операций, осуществляемых с помощью mPOS-терминалов, существенно возросло. Острая конкуренция среди поставщиков mPOS привела к тому, что получить такой платежный терминал стало чрезвычайно просто. Подписание договора занимает меньше пяти минут, а сами mPOS-терминалы зачастую предоставляются бесплатно. Теперь их можно увидеть повсюду. Как и обычные POS-терминалы, они являются конечным звеном платежной инфраструктуры. Это делает их интересными и легко доступными для злоумышленников.
Область исследования
Мы провели оценку продукции ведущих поставщиков mPOS-терминалов: PayPal, Square, iZettle и SumUp. Некоторые из них предоставляют услуги в нескольких регионах мира. Мы постарались получить доступ к услугам в разных регионах, где это было возможно, поскольку процесс платежа, приложения и устройства, а так же настройки безопасности отличаются в зависимости от локации.
| Поставщик | Производитель | Терминал | Регион |
|---|---|---|---|
| Square | Square | Терминал для бесконтактных карт и карт с чипом Square (S8) | США |
| Square | Square | Терминал для магнитных карт Square (S4) | США |
| Square | Square | Терминал для бесконтактныхкарт и карт с чипом Square (S8) | Европа |
| Square | Square | Терминал для магнитных карт Square (S4) | Европа |
| Square | Miura Systems | Miura M010 | США |
| SumUp | (not public) | AIR1 E001 | Европа |
| iZettle | DATECS | YRWCRONE | Европа |
| PayPal | Miura Systems | Miura M010 | Европа |
Производители и поставщики mPOS-терминалов
Мы провели анализ безопасности устройств по пяти категориям:
Основные направления исследования
Процесс оплаты
Мы подробно изучили векторы атак и проблемы безопасности карточных платежей. Обнаруженные нами уязвимости ставят под угрозу основные функциональные возможности mPOS-терминала.
Главное отличие mPOS от обычных POS-терминалов заключается в том, что продавец не связан напрямую с банком-эквайером. Вместо этого поставщики mPOS выступают в роли платежных агрегаторов, которые берут комиссию за осуществление транзакции. Такие платежные сервисы не всегда могут гарантировать уровень безопасности, который обеспечивает банк-эквайер. Поставщики mPOS минимизируют риски безопасности по-своему, зачастую перекладывая ответственность за фрод на банк-эквайер. Важно понимать, что такие платежные агрегаторы фактически сами являются продавцами, которые взаимодействуют с банком-эквайером.
Процесс оплаты через mPOS-терминал
Риски при оплате картой
Существуют различные способы карточных платежей. Они зависят от платежной системы, эмитента и страны выпуска. В ходе транзакции карта передает список поддерживаемых методов верификации владельца карты (CVM), который описывает поддерживаемые методы и их приоритет. CVM также регулирует, что должно произойти, если выбранный метод не сработает. В терминале хранится файл конфигурации, в котором так же описаны поддерживаемые методы верификации. Терминал сравнивает эти два файла и пытается осуществить транзакцию с помощью первого по приоритету способа. Приоритетный способ должен обеспечивать высокую степень гарантии того, что держатель карты присутствовал при выполнении операции.
Некоторые типы платежей, очевидно, более безопасны, чем другие. Оплата картой с чипом и с помощью ввода PIN-кода считается наиболее безопасным методом, потому что дает высокую степень гарантии, что операция была одобрена держателем карты. Магнитная полоса считается менее безопасной технологией, поскольку злоумышленник легко может клонировать магнитную полосу и хранящиеся на ней данные Track2 и подделать подпись держателя карты. Операции, проведенные с использованием магнитной полосы, не дают уверенности в том, что держатель карты действительно присутствовал при транзакции. В отличие от операций по картам, поддерживающим стандарт EMV, транзакции с использованием магнитной полосы проходят без криптограммы. Это означает, что такие операции не обеспечивают целостность и аутентичность транзакции при ее проведении.
Принятие стандарта EMV
Результаты исследования
Манипуляция с устройством: отправка произвольных команд
Злоумышленник может подключиться к устройству через Bluetooth и осуществлять произвольные операции. Для этого ему нужна информация о Bluetooth сервисах, запущенных на устройстве, а также соответствующих характеристиках и функциях. Эту информацию можно получить с помощью реверс-инжиниринга до проведения атаки. Злоумышленнику потребуется лишь доступ к mPOS-терминалу, телефон, который поддерживает регистрацию событий интерфейса хост-контроллера (HCI), и мобильное приложение. С помощью регистрации событий HCI злоумышленник попытается получить информацию об основных функциях mPOS-терминала. Для этого он будет проводить пробные операции, используя разные способы оплаты и сравнивая результаты. Когда необходимая информация будет получена, злоумышленник с помощью Wireshark проанализирует коммуникацию между телефоном и mPOS-терминалом. Эта информация, а также данные мобильного приложения, позволят сопоставить функции с их командами и идентификаторами. На рисунке 5 показана отправка сообщения «Вставьте (проведите) карту» на дисплей mPOS-терминала.
Сообщение «Вставьте (проведите) карту» отправлено на дисплей
Если карта вставлена неправильно, на дисплее появляется сообщение об ошибке «Пожалуйста, заберите карту». В журнале HCI мы видим, какой UUID отвечает за отображение текста и пример отправляемых данных.
Сообщение «Пожалуйста, заберите карту» на дисплее mPOS-терминала
Первый пакет Bluetooth отвечает за отправку сообщения «Пожалуйста, заберите карту»
Второй пакет Bluetooth отвечает за отправку сообщения «Пожалуйста, заберите карту» (сообщение разделено на два пакета из-за небольшого максимального размера одного пакета Bluetooth Low Energy).
На рисунке ниже видно, что значение, отправленное на mPOS-терминал, состоит из пяти частей. Оно включает в себя префикс, содержащий идентификатор команды, значение счетчика отправленных команд и размер полезной нагрузки, основной текст в виде символов ASCII, а так же постфикс, значение контрольной суммы и завершающий байт.
Элементы двух пакетов, отвечающие за отправку сообщения «Пожалуйста, заберите карту»
В следующем примере терминал использует Bluetooth Classic для коммуникации с телефоном. Мы видим сообщение «Вставьте (проведите) карту», отправленное на дисплей терминала.
Сообщение «Вставьте (проведите) карту» на дисплее mPOS-терминала
Пакет Bluetooth (в окне Wireshark), отвечающий за отправку сообщения «Вставьте (проведите) карту» на дисплей mPOS-терминала
На рисунке ниже видно, что эти данные состоят из трех частей: префикс, сообщение и контрольная сумма. Префикс так же содержит счетчик, ID команды и размер полезной нагрузки. Сообщение содержит значение «Вставьте (проведите) карту» в кодировке ASCII. Контрольная сумма — XOR всех байтов сообщения.
Элементы пакета, отвечающие за отправку сообщения «Вставьте (проведите) карту»
С помощью этой информации можно создать произвольную команду и отправить ее на дисплей mPOS-терминала. Три из протестированных нами устройств оказались уязвимы для этого вектора атаки.
| Поставщик | Производитель | Считыватель | Регион |
|---|---|---|---|
| SumUp | (not public) | AIR1 E001 | Европа |
| iZettle | DATECS | YRWCRONE | Европа |
| Square | Square | Square (S8) | США |
Список терминалов, уязвимых для отправки произвольных команд. Несмотря на то что считыватель Square (S8) не имеет дисплея, злоумышленник может отправлять другие произвольные команды.
Этот вектор атаки может использоваться совместно с эксплуатацией других уязвимостей, чтобы предложить клиенту менее безопасные типы операций, например по магнитной полосе. Этот сценарий описан на рисунках 14–16. Кроме того, злоумышленник может отправить сообщение «Платеж отклонен», чтобы вынудить держателя карты провести несколько транзакций.
Держатель карты пытается вставить карту
Сообщение «Пожалуйста, проведите карту», отправленное на дисплей терминала, вынуждает держателя карты использовать магнитную полосу
Операция проведена успешно – для проведенной операции с использованием магнитной полосы требуется оставить подпись.
Подделка суммы
Существуют разные способы перехвата трафика между mPOS-терминалом и сервером платежной системы. Мы уже описали один из них — регистрация событий HCI на мобильном телефоне и анализ полученных результатов. Для этого необходимо включить разработчика (Android Developer Mode). Злоумышленник может пойти другими путями, например перехватить HTTPS-трафик между мобильным приложением и сервером платежной системы. Это возможно, потому что в большинстве случаев сервер платежной системы генерирует команды и отправляет их на mPOS-терминал. Чтобы защитить мобильное приложение от перехвата HTTPS, все поставщики протестированных нами терминалов используют SSL-пиннинг.
Инициализированный платеж, проведенный с помощью mPOS-терминала
Перехватив HTTPS-трафик, мы можем изменить сумму транзакции. Затем необходимо пересчитать контрольную сумму. После этого мы можем отправить измененное значение суммы серверу платежной системы для подтверждения транзакции. Мы обнаружили пять терминалов, уязвимых для модификации суммы при операциях с использованием магнитной полосы.
| Поставщик | Производитель | Считыватель | Регион |
|---|---|---|---|
| SumUp | AIR1 E001 | Европа | |
| iZettle | DATECS | YRWCRONE | Европа |
| Square | Miura | Miura M010 | США |
| Miura | Miura M010 | США | |
| PayPal | |||
| Square | Square | Square | США/Европа |
| Magstripe Reader (S4) |
mPOS-терминалы, уязвимые для подделки суммы
Недобросовестный продавец может обманным путем заставить владельца карты подтвердить операцию на гораздо большую сумму. В ходе операции продавец выводит на дисплей считывателя одну сумму, но при этом сервис провайдеру mPOS-терминала для подтверждения отправляется бо?льшая сумма. Эта атака показана на рисунке ниже.
Этой уязвимости подвержены терминалы, поддерживающие операции с использованием магнитной полосы. В ходе операций терминал отправляет только зашифрованные данные Track2; сама операция при этом не заверяется. Этот вектор атаки не сработает, если операция проводится по стандарту EMV, потому что в подобных операциях информация о сумме хранится внутри криптограммы. Бесконтактные платежи PayPass и payWave, которые поддерживают работу в Legacy режимах (PayPass MAGSTRIPE и PayWave MSD) не обеспечивают такого уровня защиты, поскольку информация о сумме так же не защищена криптограммой.
Эту атаку можно предотвратить путем использования криптографического контроля целостности полей суммы и валюты и сравнения суммы и валюты операции на считывателе с суммой, подтверждаемой сервис провайдером. Важно отметить, что стандарт PCI DSS (текущая версия 3.2.1), который регулирует хранение, обработку и передачу данных карты, не требует проведения таких проверок в случае операций с использованием магнитной полосы. Для проведения операции требуется лишь передача данных Track2.
Удаленное выполнение кода
Два из протестированных нами терминалов оказались уязвимы для удаленного выполнения кода. Эксплуатация этой уязвимости обеспечивает злоумышленнику полный доступ к операционной системе терминала. После того как злоумышленник получит полный доступ к операционной системе, он сможет перехватить данные Track2 до шифрования или включить незашифрованный режим (для отправки команду) на клавиатуре терминала для перехвата PIN-кода.
| Поставщик | Производитель | Считыватель | Регион |
|---|---|---|---|
| Square | Miura | Miura M010 | США |
| PayPal | Miura | Miura M010 | США |
Список терминалов, уязвимых для удаленного выполнения кода
Ролик Nyan Cat на дисплее терминала Miura M010. Удаленное выполнение кода открывает злоумышленнику полный доступ к операционной системе терминала
Физическая защита
Физические механизмы защиты большинства mPOS-терминалов достаточно надежны. Считыватель магнитных карт Square (S4) не гарантирует уровня безопасности и технологической сложности, характерных для считывателей бесконтактных и чип-карт. Однако это должно быть стандартным требованием к устройству, которое предоставляется продавцу на бесплатной основе. Остальные терминалы обеспечивают должный уровень физической защиты, поддерживают механизмы, препятствующие вскрытию, и прочие меры для предотвращения взлома аппаратного обеспечения.
Механизмы анти-тамперинга
Системы анти-тамперинга помогают предотвратить вскрытие терминала с помощью дрели и прочих инструментов. При попытке вскрытия происходит разрыв электрической цепи, и устройство прекращает работать. Кроме того, большинство считывателей функционируют на основе патентованных стандартов. Без доступа к документации разработчика получить ценную информацию путем физического вскрытия устройства невозможно.
Внутреннее устройство iZettle YRWCRONE
Система для обнаружения попыток вскрытия iZettle YRWCRONE
Заключение
Мы обнаружили, что больше половины mPOS-терминалов уязвимы для атак, при этом в целом уязвимыми оказались все проанализированные нами поставщики mPOS-терминалов. Мы зарегистрировали многочисленные серьезные проблемы безопасности, в частности уязвимость для выполнения произвольных команд, подделке суммы и выполнению удаленного кода.
Аппаратные механизмы защиты терминалов в большинстве случаев надежны и развиты. Однако другие аспекты, например, связанные с мобильным приложением и процедура регистрации, защищены гораздо слабее.
Разработчики mPOS-терминалов подчеркивают простоту регистрации и использования устройств. Это ключевые элементы бизнес-модели, но она не учитывает, что снижение барьеров входа на рынок карточных платежей должно сопровождаться существенным увеличением безопасности. Нет никаких сомнений в том, что мошеннические действия продавцов останутся серьезной проблемой поставщиков mPOS-терминалов. Необходимо разработать серьезный подход к проблеме безопасности, включая проверку в ходе регистрации и строгий мониторинг платежей.
Авторы: Ли-Энн Галлоуэй, Тимур Юнусов, Positive Technologies