کد خبر: ۸۸۷۶۰
تاریخ انتشار: ۰۸ شهريور ۱۳۹۶ - ۰۹:۳۳
هکرهای اخلاق‌مدار با کشف یک باگ در پایانه‌های فروش نشان دادند که آسیب‌پذیری‌های موجود در سیستم‌های POS چطور به مهاجمین اجازه می‌دهد اجناس گران را با قیمت‌های ناچیز بخرند.

تدبیر24»علی‌رغم قیمت بالای مک بوک‌های اپل، هکرها روشی پیدا کرده‌اند که با استفاده از آن سیستم‌های خرید را دور می‌زنند و این دستگاه را با قیمت خیلی کمتری خریداری می‌کنند.

بر طبق یافته‌های محققان شرکت امنیتی ERPScan، در پایانه‌های فروشی که توسط SAP و Oracle طراحی شده آسیب‌پذیری‌هایی وجود دارد که اگر شناسایی شود، مهاجم می‌تواند به پشت صحنه‌ی سیستم فروش دسترسی یافته و قیمت هر محصولی را عوض کند.

دمیتری چَستوهین (Dmitry Chastuhin) و ولادمیر ایگوروف (Vladimir Egorov) از ERPScan با بررسی پایانه‌های POS فهمیدند که سرور Xpress این سیستم‌ها از کمبود تدابیر امنیتی لازم برای احراز هویت رنج می‌برد. به این شکل علاوه بر دسترسی به اطلاعات کارت‌های اعتباری، هکرها می‌توانند کنترل کامل سرور را هم در دست بگیرند.

به همین واسطه امکان تغییر قیمت یا میزان تخفیف، و خاموش و روشن کردنِ از راه دور پایانه‌ها وجود خواهد داشت.

چستوهین می‌گوید: «این مشکل به طور کلی از جانب SAP نیست. بسیاری از سیستم‌های POS معماری مشابهی دارند و در نتیجه از همین آسیب‌پذیری‌ها رنج می‌برند.»

«ارتباطات بین محل استقرار POS و سرور فروشگاه  از نظر امنیتی – یعنی روندهای احراز هویت و رمزنگاری – ضعیف هستند و هیچ کس به آن‌ها توجهی نمی‌کند. بنابراین اگر کسی بتواند وارد شبکه شود، به کل سیستم دسترسی خواهد داشت.»

چستوهین و ایگوروف ویدیویی برای توضیح بهتر این حالت در یوتیوب یک ویدیو هم آپلود کرده‌اند. در این ویدیو، محققان نشان می‌دهند که چگونه با استفاده از یک رزبری پای ۲۵ دلاری می‌توان وارد پایانه‌ی POS شد و بدافزار مورد نیاز برای تغییر قیمت‌ها را نصب کرد.

ERPScan ابتدا آوریل سال گذشته آسیب‌پذیری‌های مربوط به SAP را به نمایش گذاشت که به دنبال آن شرکت سازنده در ماه جولای وصله‌ای برای تصحیح این باگ منتشر کرد، اما محققان با استفاده از یک سوراخ دیگر توانستند همین حمله را دوباره انجام دهند. بعد از انتشار گزارش دوم، SAP بالاخره هر دو مشکل را به طور کامل برطرف نمود.

اگر زمانی خواستید از پایانه‌های POS شرکت SAP استفاده کنید، برای حفظ ایمنی در برابر خطرات احتمالی، حتماً پچ‌های مربوطه (SAP Security Note 2476601 و SAP Security Note 2520064) را در سیستم نصب نمایید.

برچسب ها: تدبیر24 ، یک دلار
بازدید از صفحه اول
sendارسال به دوستان
printنسخه چاپی
نظر شما:
نام:
ایمیل:
* نظر:
داغ ترین ها