Investigadores de seguridad demostraron que pueden comprometer por completo este tipo de dispositivos mediante el uso de tarjetas inteligentes programables.

Investigadores de seguridad demostraron el jueves defectos que pueden permitir a los atacantes hacerse cargo de los dispositivos móviles de punto de venta (mPOS por sus siglas en inglés) de diferentes fabricantes, insertando tarjetas maliciosas en ellos.

A pesar de que el parche está disponible desde abril, algunos dispositivos siguen siendo vulnerables.

Jon Butler, el jefe de investigación de MWR InfoSecurity, y uno de sus colegas que prefiere ser conocido sólo como Nils, dijeron en la conferencia de seguridad Black Hat en Las Vegas que han investigado seis de los dispositivos mPOS más populares disponibles en el mercado de los que soportan el estándar EMV (Chip y PIN).

Estos dispositivos tienen una pantalla pequeña, un lector de tarjetas inteligentes y un teclado para introducir el número NIP. Tienen un sistema operativo basado en Linux y se comunican a través de Bluetooth con aplicaciones de pago móviles instaladas en los teléfonos inteligentes.

Los investigadores de MWR encontraron que, a pesar de verse diferentes en el exterior, 75 por ciento de los dispositivos que probaron se basan en la misma plataforma subyacente.

En algunos dispositivos encontraron vulnerabilidades en el mecanismo de actualización del firmware, que les permitió ejecutar comandos como root. También encontraron una vulnerabilidad de desbordamiento de búfer basado en pila en la biblioteca certificada de análisis sintáctico EMV, que les permitió tomar el control completo sobre todos los dispositivos utilizando una tarjeta inteligente especialmente programada.

Los fabricantes de los dispositivos no fueron nombrados porque algunos son vulnerables todavía.

Para demostrar que pueden obtener el control completo sobre la pantalla y el teclado de entrada de un dispositivo de este tipo, los investigadores utilizaron una tarjeta maliciosa para instalar y ejecutar un juego similar a Flappy Bird en uno de los dispositivos.

En un caso práctico de ataque, un estafador podría ir a una tienda que utiliza este tipo de dispositivos, pretender que compra algo, meter la tarjeta maliciosa en un dispositivo y comprometerlo con un código que capture los datos de las tarjetas y los NIP de los clientes que utilicen el dispositivo después, dijeron los investigadores. El atacante podría regresar más tarde con una tarjeta diferente para extraer la información.

Los atacantes no podrían clonar el chip de tarjetas EMV, pero sería posible clonar el resto de la información de la tarjeta y utilizar la tarjeta falsificada resultante junto con el NIP capturado en un país que no utilice el estándar EMV.

La vulnerabilidad fue reportada al vendedor de la plataforma, que fue sorprendentemente cooperativo y liberó una versión parcheada de la biblioteca EMV en abril, dijeron los investigadores. El proceso no fue sencillo porque la nueva biblioteca tuvo que pasar por el proceso de certificación EMV de nuevo, lo que realza el hecho de que tales normas no permiten las actualizaciones de seguridad oportunas, dijeron.

A pesar de que la mayoría de los dispositivos afectados tienen la capacidad de actualizar su firmware a distancia, algunos vendedores todavía no han publicado las actualizaciones que contienen la biblioteca EMV parchada. Nils dijo que es consciente de por lo menos un vendedor que todavía no ha enviado las actualizaciones a sus clientes y no conoce el estado de todos los dispositivos, ya que para algunos de ellos no se crearon cuentas mercantiles que les dieran acceso a las actualizaciones.

Los investigadores aún no han investigado a fondo todos los vectores de ataque, pero creen que también podría ser posible comprometer dispositivos mPOS desde un teléfono inteligente infectado con malware. En al menos un caso se encontraron problemas con la aplicación móvil de un proveedor, lo que sugiere que un ataque de este tipo es posible.

También podría ser posible atacar el teléfono inteligente desde un dispositivo mPOS comprometido y luego cargar los datos capturados a través de la conexión a Internet del teléfono. Sin embargo, probar esto podría afectar los sistemas de back-end del vendedor, por lo que debido a razones legales los investigadores no pudieron indagar más acerca de eso.