ליקויי אבטחה בכספומט בגרמניה
ב-2 נובמבר פורסם על ליקויים חמורים אשר התגלו במכשירי כספוט ברחבי גרמניה.
בידיעה דווח כי בנק Sparkasse החל בתיקון ליקויים שהתגלו במכשירי ATM ומסופוני שרות עצמאי לאחר שחוקר אבטחה גרמני הצליח לשטות במכשירים אלה.
בעת נסיון שבוצע, המכשיר פלט את כרטיסו של החוקר בהודעה כי "זמנית אינו זמין". הפעולה למול המכשיר גרמה להצגת פרטים בדבר תהליך עדכון אשר הופיע על המסך. בשלב זה הבין החוקר כי המכשיר הפך ללא זמין זמנית הואיל והוא ביצע עדכון תוכנה.
על פי רוב עדכוני התוכנה מבוצעים ברקע, אולם כפי שגילה החוקר, פרטי תהליך והתקדמות העדכון יכולים להיות זמינים תוך לצפיה במכשיר, תוך חשיפת מידע רגיש רב ובכלל זה שמות משתמש, מידע על הרשת, מזהה המכשיר והגדרותיו. לדבריו הדבר יכול לשמש לביצוע תקיפה על מכשיר הקצה, אולם הוא סרב למסור פרטים נוספים כדי שלא לגרום לניצול הפרצה.
עוד התגלה כי המקלדת הקיימת כחלק מהמכשיר לא היתה מושבתת במהלך העדכון, דבר אשר יכול לאפשר לתוקף להתערב בתהליך העדכון. גם קורא הכרטיסים נשאר פעיל במהלך העדכון.
החוקר ציין כי התוקף יכול להקליט את המידע המוצג במהלך תהליך העדכון (האורך 17 דקות) על מנת לבצע מתקפה מסוג MitM על הרשתות המקומיות של הבנק ולתפוס שליטה על המכשיר עצמו ולבצע בו פעילויות אשר יראו כעדכוני תוכנה, או לבצע פעולות הונאה שונות.
פוסט זה זמין גם ב:
Español