Интересно Польские хакеры научились манипулировать транзакциями PoS-терминалов

[Sepultura_North]

Купил сметаны – лишился зарплаты: польские хакеры научились манипулировать транзакциями PoS-терминалов​

18 января, 2024

Сразу 6 уязвимостей в оборудовании PAX дают злоумышленникам полный карт-бланш на мошенничество.

Группа исследователей из польской компании STM Cyber - это польская компания, специализирующаяся в области кибербезопасности. Она предоставляет своим клиентам комплексные услуги по тестированию на проникновение, исследованию и разработке в сфере кибербезопасности, а также поддержке в реализации отраслевых стандартов.
STM Cyber обнаружила серьёзные уязвимости в платёжных терминалах, производимых китайской компанией PAX Technology - это китайская компания, специализирующаяся на разработке и производстве платежных терминалов и решений для электронной коммерции. PAX предоставляет технологические решения для обработки платежей, включая банковские карты, мобильные платежи и другие виды электронных транзакций. Компания является мировым лидером в сфере производства терминалов и имеет широкий портфель продуктов, обслуживающих как мелких предпринимателей, так и крупные организации. PAX Technology имеет клиентов и партнеров по всему миру и активно участвует в развитии индустрии электронных платежей.
PAX. С их помощью киберпреступники могут выполнять на POS-терминал - это электронное устройство, которое используется в коммерческих точках, таких как магазины или рестораны, для осуществления платежей от клиентов за товары и услуги. POS-терминалы позволяют проводить электронные платежи с помощью различных методов, включая банковские карты, мобильные платежи, NFC-технологии (бесконтактные платежи) и т.д.

POS-терминалы обычно имеют экран и набор клавиш, который позволяет вводить необходимую информацию, например, сумму платежа или пин-код. Они также могут быть оборудованы считывателями карт, сканерами штрих-кодов или QR-кодов для быстрого и точного считывания данных. Когда клиент проводит платеж, POS-терминал связывается с платежным шлюзом или банковской системой, чтобы проверить данные карты и авторизовать платеж.
PoS-терминалах произвольный код.

Специалисты использовали Реверс-инжиниринг (обратная разработка, обратный инжиниринг) – процесс анализа машинного кода программы группой разработчиков, в результате, которого составляется алгоритм этой программы на псевдокоде. Если же программа является драйвером, то в результате анализа кода составляется исчерпывающие спецификации, интересующего разработчиков устройства. На основе добытых алгоритмов и спецификаций другая группа разработчиков пишет собственный драйвер. Результат обратной разработки позволяет избежать обвинений в нарушении авторских прав на исходную программу.

Реверс-инжиниринг также проводится на уровне программного обеспечения, с целью осуществления модификации кода, написания генератора ключей, а также получения сведений о протоколе сетевого обмена с сервером, аппаратным средством, ключом защиты. Обратная разработка ПО производится с помощью анализа обмена данными, дизассемблирования и декомпиляции.
реверс-инжиниринг, чтобы исследовать безопасность устройств на базе Android – операционная система для мобильных устройств, разработанная компанией Google. Она основана на ядре Linux и предоставляет широкий спектр функций и сервисов для смартфонов, планшетов, умных часов, телевизоров и других устройств.

Android позволяет пользователям скачивать и устанавливать приложения из магазина Google Play, обеспечивая множество возможностей для индивидуализации и работы с различными приложениями.

Android является наиболее популярной в мире ОС для мобильных устройств и продолжает активно развиваться и обновляться.
Android, в связи с их стремительным распространением по территории Польши. В ходе этого процесса они выявили целых шесть критических недостатков, которые далее мы рассмотрим чуть подробнее.

Информация об одной из уязвимостей ( CVE-2023-42133 ) пока не раскрывается в целях предосторожности. Остальные же представляют из себя следующее:

• CVE-2023-42134 и CVE-2023-42135 (CVSS 7.6) — локальное выполнение кода с правами root через инъекцию параметров ядра в fastboot (затрагивает PAX A920Pro/PAX A50).
• CVE-2023-42136 (CVSS 8.8) — повышение привилегий от любого пользователя/приложения до системного пользователя с помощью службы binder (затрагивает все устройства PAX PoS на базе Android).
• CVE-2023-42137 (CVSS 8.8) — повышение привилегий от системного пользователя до root с помощью небезопасных операций в демоне systool_server (затрагивает все устройства PAX PoS на базе Android).
• CVE-2023-4818 (CVSS 7.3) — понижение версии загрузчика из-за неправильной токенизации (затрагивает PAX A920).

Успешное использование этих уязвимостей позволяет злоумышленникам повысить свои привилегии до уровня root и обойти защиту песочницы, фактически получая неограниченный доступ к выполнению любых операций.
Перечень злонамеренный действий включает в себя вмешательство в платёжные операции для «изменения данных, которые торговое приложение отправляет в защищённый процессор, включая сумму транзакции», — отметили исследователи безопасности Адам Клиш и Хуберт Ясудович.
Стоит отметить, что для эксплуатации CVE-2023-42136 и CVE-2023-42137 злоумышленнику необходим доступ к оболочке устройства, в то время как для остальных трёх требуется физический доступ к USB-порту устройства.
Исследователи STM Cyber раскрыли уязвимости компании PAX Technology в начале мая 2023 года, а в ноябре последняя выпустила исправления, устраняющие эти недостатки безопасности.