Gli Smart POS basati su Android stanno diventando sempre più popolari grazie alla loro versatilità e facilità d’uso. Tuttavia, recenti ricerche condotte dall’ingegnere informatico Jacopo Jannone hanno rivelato gravi vulnerabilità che potrebbero mettere a rischio la sicurezza dei dati sensibili dei consumatori. Il tema dello sfruttamento di vulnerabilità di questi terminali è rilevante soprattutto considerando l’evoluzione tecnologica e l’aumento della superficie di attacco di questi dispositivi.
La ricerca
Jacopo Jannone ha presentato le sue scoperte al convegno No Hat 2024 di Bergamo, in una relazione intitolata “Exploring and Exploiting an Android ‘Smart POS’ Payment Terminal“. La sua ricerca ha messo in luce come i moderni terminali POS (Point of Sale), simili a smartphone, possano essere compromessi da attacchi informatici.
Dettagli delle vulnerabilità
Le vulnerabilità identificate da Jannone risiedono sia nel software che nell’hardware dei dispositivi. Un attaccante con accesso fisico al dispositivo (via USB) può installare malware o modificare il firmware per intercettare i dati delle carte di credito durante le transazioni. Inoltre, Jannone ha dimostrato che è possibile esfiltrare i dati utilizzando la stessa rete Wi-Fi del dispositivo compromesso.
“La prima vulnerabilità ci ha consentito di aprire una shell ed eseguire comandi arbitrari sul dispositivo.”, spiega Jannone, “Quindi, i difetti in altri componenti del sistema hanno aperto la strada a un’escalation dei privilegi di root. Infine, siamo riusciti a far persistere l’accesso root tra i riavvii, il tutto senza sbloccare il bootloader e innescare i meccanismi antimanomissione che avrebbero cancellato le chiavi segrete dal modulo di sicurezza hardware integrato. “.
Tecniche di attacco
Jannone ha sviluppato un Proof of Concept (PoC) che mostra come un malintenzionato possa sfruttare queste vulnerabilità per rubare informazioni sensibili. Le tecniche di attacco includono la compromissione interna da parte dell’operatore e gli attacchi alla supply chain, dove i dispositivi vengono manomessi durante la distribuzione.
Implicazioni per la sicurezza
Le scoperte sollevano importanti questioni sulla sicurezza dei sistemi di pagamento moderni. La sua analisi suggerisce la necessità di ripensare gli standard attuali per proteggere meglio i dati sensibili degli utenti e l’importanza di integrare misure di sicurezza più rigide nei dispositivi POS sin dalle prime fasi di sviluppo.
Le vulnerabilità sono state divulgate responsabilmente al produttore prima della pubblicazione.
