На конференции Black Hat хакеры взломали POS-терминал и играли на нем в Flappy Bird

image

Теги: уязвимость, POS-терминал, конференция

Для получения доступа к устройству использовалась уязвимость в библиотеке EMV.

Исследователи, обнаружившие на POS-терминалах уязвимости, позволяющие выполнять вредоносный код, продемонстрировали результаты своих работ на конференции Black Hat 2014 в Лас-Вегасе.

Джон Батлер (Jon Butler), глава отдела исследований британской компании MWR Labs, вместе со своим коллегой Нильсом изменили имена популярных POS-терминалов для обеспечения безопасности пользователей. По словам Батлера, все проверенные терминалы выглядели одинаково и использовали ОС Linux для выполнения транзакций.

В четверг, 7 августа, хакеры продемонстрировали эксплоиты, использующие разные векторы входа – к примеру, Bluetooth или USB-порт.

Один из продемонстрированных эксплоитов вызвал аплодисменты со стороны участников Black Hat. В нем использовалась ошибка, вызывающая переполнение стекового буфера в библиотеке EMV для получения root-доступа к устройству. Воспользовавшись уязвимостью, Батлер и Нильс получили доступ к POS-терминалу и смогли управлять информацией, отображаемой на экране платежного терминала.

Исследователям также удалось запустить собственную версию игры Flappy Bird, использовав платежную карту с вредоносным ПО, записанным на ее микрочип. Эта уязвимость показала, что хакеры, используя ту же ошибку, могут использовать доступ к устройству для перехвата управления клавиатурой и экраном для похищения персональных и финансовых данных.

Батлер и Нильс продемонстрировали уязвимости на POS-терминале, производитель которого выпустил исправление ошибки, вызывавшей брешь, еще в апреле 2014 года. Несмотря на это, множество устройств еще могут быть подвержены этой уязвимости. Наибольший риск эта уязвимость представляет для малого бизнеса, поскольку в этой сфере обычно используются недорогие устройства с низкими комиссионными платежами.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.