Una recente ricerca condotta dall’ingegnere Jacopo Jannone ha rivelato gravi vulnerabilità nei moderni terminali POS basati su Android, mettendo in luce i rischi per i dati sensibili degli utenti. La scoperta sarà presentata il 19 ottobre al convegno No Hat 2024 di Bergamo durante una relazione intitolata Exploring and Exploiting an Android “Smart POS” Payment Terminal. Questo intervento è destinato a scuotere il settore dei pagamenti digitali.
I rischi nascosti nei nuovi POS
I dispositivi POS di ultima generazione, simili a smartphone con sistema operativo Android, offrono funzionalità avanzate, ma presentano anche una superficie d’attacco più ampia. A differenza dei vecchi terminali, i nuovi Smart POS consentono una maggiore interazione grazie alla connettività USB, che può essere sfruttata per attacchi informatici. Secondo la ricerca, un malintenzionato con accesso fisico potrebbe alterare il dispositivo per intercettare i dati della carta, inclusi numero e PIN, durante le transazioni.
Tecniche di attacco e scenari emergenti
Nel proof of concept sviluppato da Jannone, l’esfiltrazione dei dati è possibile sfruttando la stessa rete Wi-Fi del dispositivo compromesso. Tuttavia, sono possibili varianti di attacco più sofisticate che potrebbero permettere la trasmissione dei dati anche via internet. Le tecniche identificate includono la compromissione interna da parte dell’operatore e gli attacchi alla supply chain, dove i dispositivi vengono manomessi durante la distribuzione.
Sicurezza e prospettive future
Durante il convegno No Hat 2024, un evento annuale dedicato alla sicurezza informatica, Jannone discuterà l’importanza di integrare misure di sicurezza più rigide nei dispositivi POS sin dalle prime fasi di sviluppo. La sua analisi solleva dubbi sulla sicurezza dei sistemi di pagamento moderni e suggerisce la necessità di ripensare gli standard attuali. La presentazione mira a sensibilizzare il settore sui potenziali rischi, sottolineando l’urgenza di trovare soluzioni innovative per proteggere i dati sensibili degli utenti.
Jacopo Jannone, ingegnere informatico, è specializzato nella sicurezza delle applicazioni e appassionato di reverse engineering. Attualmente lavora come Senior Security Engineer e partecipa a competizioni CTF, dove si occupa principalmente dell’analisi di sistemi mobili e embedded.