Onderzoekers van beveiligingsbedrijf Positive Technologies hebben in Las Vegas hun bevindingen gepresenteerd over mobiele pinapparaten. Die zouden vatbaar zijn voor uiteenlopende aanvallen, die inmiddels echter voor een groot deel zijn gepatcht.

mobiele pin

De twee onderzoekers, Leigh-Anne Galloway en Tim Yunusov, richtten zich op zeven apparaten van vier verschillende bedrijven in de VS en Europa. Het gaat om de M010 van Miura, die door bijvoorbeeld PayPal en Square in de VS wordt gebruikt, naast apparaten van iZettle en SumUp die veel in Nederland worden gebruikt. Deze zijn niet allemaal door dezelfde kwetsbaarheden getroffen, maar de onderzoekers presenteerden verschillende aanvallen per apparaat. Het gaat om pinautomaten die via bluetooth met een mobiel apparaat te verbinden zijn, dat op zijn beurt weer aan het internet hangt. De kleine automaatjes zijn op veel plekken te vinden, bijvoorbeeld in taxi's, op marktkramen en in winkels.

Hoewel de fysieke veiligheid van de apparaten doorgaans in orde was, bijvoorbeeld door maatregelen die verhinderen dat het uit elkaar kan worden gehaald, was het bij de Miura-, iZettle- en SumUp-apparaten mogelijk om zelfgekozen commando's naar de apparaten te sturen. Zo zou een kwaadwillende verkoper bijvoorbeeld een mededeling in het scherm kunnen tonen dat een betaling is mislukt, terwijl deze in werkelijkheid is doorgevoerd. Daardoor zou een koper dubbel kunnen betalen. Een andere mogelijkheid was het aanpassen van het bedrag dat in het scherm wordt getoond. Zo kan op de achtergrond een veel groter bedrag worden afgeschreven, aldus de onderzoekers.

Dit is echter niet in alle gevallen mogelijk, zo werkt deze aanval het beste als een betaling via de magneetstrip wordt uitgevoerd. Bij een contactloze betaling wordt de aanval al moeilijker en bij gebruik van een pincode is deze niet meer mogelijk. De onderzoekers raden verkopers en kopers dan ook aan helemaal geen betalingen via de magneetstrip meer uit te voeren. In dat kader wijzen ze erop dat het gebruik van emv in Europa veel groter is dan in de VS.

In het geval van de Miura wisten de onderzoekers ook een manier te vinden om op afstand code uit te voeren op het apparaat door de firmware te analyseren. Die hadden ze verkregen via een https-mitm. Om deze aanval uit te voeren, moet de aanvaller, bijvoorbeeld een klant, wel fysieke toegang hebben tot het apparaat om het in de pairingmodus te zetten. Ook zou er een oudere firmwareversie aanwezig moeten zijn. SumUp en iZettle hebben inmiddels tegenover Forbes gereageerd op de bevindingen en zeggen dat ze maatregelen hebben genomen. Hetzelfde geldt voor de andere getroffen bedrijven.

Reacties mogelijk gemaakt door CComment