Sembra quasi paradossale, ma i POS di ultima generazione basati su Android potrebbero risultare più vulnerabili di quelli tradizionali. Questo è quanto sostenuto da Jacopo Jannone, ingegnere informatico e autore di una ricerca sulle vulnerabilità presentata presso la conferenza di computer security No Hat, tenutasi lo scorso fine settimana. Vediamo più nel dettaglio il problema.
Motorola edge 60, 8/256 GB
50+50+10MP, 6.67'' pOLED 120Hz, Batteria 5200mAh, ricarica 68W, Android 15
Carte a rischio con questa vulnerabilità dei nuovi POS?
I POS per i pagamenti elettronici stanno subendo una drastica evoluzione in questi ultimi tempi, passando da hardware specializzati e sistemi operativi personalizzati a dispositivi Android piuttosto simili ai normali smartphone. Questo naturalmente porta a funzionalità più avanzate e accessibili e a dispositivi più smart, ma a quanto pare anche a qualche rischio in più. Secondo quanto riferito da Jannone nel suo talk “Exploring and Exploiting an Android “Smart POS” Payment Terminal“, sono state pubblicate poche o nessuna ricerca che esplori questi nuovi dispositivi “Smart POS”, che ne mostrassero le peculiarità e ne mettessero in evidenza le debolezze che potrebbero nascondere.
Durante la conferenza, l’ingegnere ha parlato proprio di questo e di alcune vulnerabilità, e lo ha fatto attraverso un po’ di “reverse engineering” di uno dei terminali Smart POS più diffusi attualmente in uso in giro per il mondo. La prima vulnerabilità ha permesso di aprire una shell e di eseguire comandi arbitrari sul dispositivo; quindi, le vulnerabilità in altri componenti del sistema hanno aperto la strada a quella che è stata definita una “escalation” dei privilegi di root. Inoltre Jannone ha dichiarato di essere riuscito a rendere l’accesso root persistente dopo i riavvii, senza sbloccare il bootloader e senza innescare i meccanismi antimanomissione che avrebbero cancellato le chiavi segrete dal modulo di sicurezza hardware integrato.
Sfruttando tutto questo, un malintenzionato potrebbe utilizzare il terminale di pagamento per rubare informazioni sulla carta di credito a ignari clienti, compreso il PIN. Prima di darsi a facili allarmismi, bisogna però specificare un “piccolo” dettaglio rassicurante: per praticare le modifiche necessarie bisogna agire manualmente sul POS, collegandosi direttamente alla porta USB e allo stesso tempo anche alla medesima rete Wi-Fi. Insomma, due eventualità fortunatamente remote, ma non impossibili, anche perché la manomissione potrebbe essere effettuata nella filiera, e potrebbe essere messa a punto qualche variante “perfezionata” e ancora più pericolosa dell’attacco.
A quanto pare, in questo tipo di situazione può risultare decisamente più sicuro effettuare il pagamento tramite smartphone invece che con la carta fisica: questo perché i dati che il telefono trasmette al POS durante la transazione non sono quelli della carta fisica (numero, scadenza, codice di sicurezza), e non viene nemmeno richiesto il PIN della carta stessa (grazie allo sblocco dello smartphone o comunque all’autenticazione biometrica).
Naturalmente tutte le informazioni del caso sono state condivise con il produttore del dispositivo coinvolto nel test eseguito dall’ingegnere, e vista la tipologia di dispositivo risulterebbe semplice distribuire un aggiornamento correttivo.