È una situazione abbastanza comune: ceni in un piccolo ristorantino, trascorri una bella serata con gli amici e alla fine arriva il conto. Di solito paghi in contanti, ma questa volta non ne hai abbastanza. Nessun problema, il personale ti lascia pagare con la carta. Paghi e vai a casa. Un paio di giorni dopo, mentre controlli il tuo estratto conto ti accorgi che l’importo addebitato è leggermente superiore a quello che avresti dovuto pagare. Di poco, ma comunque superiore … Chiarire il disguido richiederebbe tempo e quindi se l’importo non è troppo alto, potresti decidere di lasciar perdere.
Secondo alcuni ricercatori nel campo della sicurezza questo può accadere specialmente se il ristorante dove hai cenato o il negozio dove hai fatto acquisti utilizza uno di quei bei terminali di pagamento connessi a uno smartphone o a un tablet.
Sistemi POS mobili a basso costo = sicurezza scadente
Sono ridotti, poco costosi e quindi perfetti per aziende e ristoranti nuovi e di piccole dimensioni, furgoni-ristorante, bancarelle e chioschi: sono i sistemi POS mobili a basso costo. Purtroppo però sembra che questi POS siano colmi di vulnerabilità che potrebbero permettere agli hacker di rubare i dati delle carte di credito e modificare l’importo pagato.
I ricercatori di Positive Technologies hanno esaminato sette terminali che costano meno di 50 dollari, alcuni dei quali addirittura di società note del calibro di PayPal e Square. I risultati non sono molto promettenti. Cinque dispositivi mostrano vulnerabilità di sicurezza che permetterebbero ai pirati informatici di raggirare i clienti facendoli pagare più del dovuto, mentre due dispositivi consentono di leggere i codici PIN in chiaro.
Per sfruttare la prima vulnerabilità, gli hacker, o i commercianti malintenzionati, devono ricorrere alla tecnologia Bluetooth e a una forma di accoppiamento non sicura utilizzate dai lettori. A questo punto i pirati informatici possono modificare gli importi: il conto finale sarà quindi più alto dell’importo che il cliente visualizza sul lettore.
La seconda vulnerabilità, che permetterebbe agli hacker di sottrarre i codici PIN, è stata rilevata soltanto sui dispositivi prodotti da Miura. Sembra che sia PayPal che Square li utilizzassero, per lo meno fino ad ora. L’attacco è un po’ più complicato, perché prevede che i criminali installino precedentemente una vecchia versione del firmware. Ma è anche vero che un attacco di questo tipo (incluso l’eventuale ripristino del vecchio firmware e l’avvio dell’exploit del dispositivo) richiederebbe solo un paio di minuti.
I problemi sono in via di risoluzione, ma in circolazione ci sono ancora dispositivi vecchi
Sebbene tutte le aziende stiano lavorando per risolvere i problemi e garantire l’assenza di vulnerabilità in futuro, in circolazione ci sono ancora dispositivi vecchi che continueranno a non essere sicuri. Nessuno può prevedere per quanto tempo rimarranno in servizio e quanti di essi continueranno a essere usati per scopi illeciti.