skynethosting
Curioso
Verificado por Whatsapp
¡Usuario con pocos negocios! ¡Utiliza siempre saldo de Forobeta!
En un cambio significativo, las empresas bancarias de todo el mundo están abandonando los dispositivos de punto de venta (TPV) hechos a medida en favor del ampliamente adoptado y robusto sistema operativo Android. Esta transición anuncia el fin de los terminales tradicionales y oscuros, sustituidos por grandes pantallas táctiles interactivas. Android, conocido por su seguridad y robustez, sigue planteando retos en la integración e implementación de funciones personalizadas, especialmente cuando se combina con hardware personalizado.
El equipo de I+D de STM Cyber asumió la tarea de realizar ingeniería inversa de los dispositivos POS producidos por la mundialmente reconocida PAX Technology, que se están adoptando rápidamente en Polonia. Este artículo detalla seis vulnerabilidades encontradas en estos dispositivos, a cada una de las cuales se le ha asignado un identificador CVE único.
Dispositivo PAX A920 comprometido
Gracias al riguroso sandboxing de aplicaciones del sistema operativo Android (en el que se basa el sistema PaxDroid utilizado en los dispositivos PAX), se impide que las aplicaciones interfieran entre sí. Sin embargo, algunas aplicaciones necesitan privilegios elevados para gestionar funciones específicas del dispositivo, ejecutándose como un usuario con privilegios superiores. Un atacante que eleve sus privilegios al nivel de root puede manipular cualquier aplicación, incluidas las que intervienen en los procesos de pago. Aunque un atacante de este tipo no puede acceder a los datos descifrados del beneficiario (como los detalles de la tarjeta de crédito) procesados en un procesador seguro (SP) independiente, puede alterar los datos enviados al SP por la aplicación del comerciante, incluidos los importes de las transacciones. El acceso a otras cuentas con privilegios elevados, como la cuenta del sistema, también es fundamental, ya que amplía la superficie potencial de ataque a la cuenta raíz.
En su búsqueda de vulnerabilidades, STM Cyber se concentró en dos vectores de ataque principales:
Ejecución local de código desde el cargador de arranque: Este enfoque sólo necesita acceso al puerto USB del dispositivo y no requiere privilegios especiales. Se necesita acceso físico al dispositivo, lo que lo convierte en un vector de ataque notable teniendo en cuenta la naturaleza de los dispositivos POS. Los diferentes modelos de PAX POS, que utilizan varios proveedores de CPU, tienen cargadores de arranque distintos. El equipo identificó CVE-2023-4818 en el PAX A920, mientras que los modelos A920Pro y A50 eran susceptibles a CVE-2023-42134 y CVE-2023-42135, respectivamente.
Escalada de privilegios al usuario del sistema: Este tipo de vulnerabilidad existe en el sistema PaxDroid y es frecuente en casi todos los dispositivos PAX POS basados en Android. CVE-2023-42136, en particular, facilita la escalada de privilegios de cualquier usuario a la cuenta del sistema, ampliando significativamente el panorama de ataque.
El paso de las empresas bancarias a los sistemas de punto de venta basados en Android marca un cambio fundamental en el panorama tecnológico de los puntos de venta. Este cambio introduce interfaces avanzadas y fáciles de usar, pero también saca a la luz importantes consideraciones de seguridad. Las vulnerabilidades descubiertas por STM Cyber en los dispositivos de PAX Technology -especialmente en el modelo PAX A920, ampliamente utilizado- ponen de manifiesto la complejidad y la importancia de proteger estos sistemas. Estas vulnerabilidades, que van desde la ejecución local de código a la escalada de privilegios, ponen de relieve la necesidad de una vigilancia continua en materia de ciberseguridad en el ámbito de los pagos digitales, que evoluciona rápidamente.
El equipo de I+D de STM Cyber asumió la tarea de realizar ingeniería inversa de los dispositivos POS producidos por la mundialmente reconocida PAX Technology, que se están adoptando rápidamente en Polonia. Este artículo detalla seis vulnerabilidades encontradas en estos dispositivos, a cada una de las cuales se le ha asignado un identificador CVE único.
Dispositivo PAX A920 comprometido
Gracias al riguroso sandboxing de aplicaciones del sistema operativo Android (en el que se basa el sistema PaxDroid utilizado en los dispositivos PAX), se impide que las aplicaciones interfieran entre sí. Sin embargo, algunas aplicaciones necesitan privilegios elevados para gestionar funciones específicas del dispositivo, ejecutándose como un usuario con privilegios superiores. Un atacante que eleve sus privilegios al nivel de root puede manipular cualquier aplicación, incluidas las que intervienen en los procesos de pago. Aunque un atacante de este tipo no puede acceder a los datos descifrados del beneficiario (como los detalles de la tarjeta de crédito) procesados en un procesador seguro (SP) independiente, puede alterar los datos enviados al SP por la aplicación del comerciante, incluidos los importes de las transacciones. El acceso a otras cuentas con privilegios elevados, como la cuenta del sistema, también es fundamental, ya que amplía la superficie potencial de ataque a la cuenta raíz.
En su búsqueda de vulnerabilidades, STM Cyber se concentró en dos vectores de ataque principales:
Ejecución local de código desde el cargador de arranque: Este enfoque sólo necesita acceso al puerto USB del dispositivo y no requiere privilegios especiales. Se necesita acceso físico al dispositivo, lo que lo convierte en un vector de ataque notable teniendo en cuenta la naturaleza de los dispositivos POS. Los diferentes modelos de PAX POS, que utilizan varios proveedores de CPU, tienen cargadores de arranque distintos. El equipo identificó CVE-2023-4818 en el PAX A920, mientras que los modelos A920Pro y A50 eran susceptibles a CVE-2023-42134 y CVE-2023-42135, respectivamente.
Escalada de privilegios al usuario del sistema: Este tipo de vulnerabilidad existe en el sistema PaxDroid y es frecuente en casi todos los dispositivos PAX POS basados en Android. CVE-2023-42136, en particular, facilita la escalada de privilegios de cualquier usuario a la cuenta del sistema, ampliando significativamente el panorama de ataque.
El paso de las empresas bancarias a los sistemas de punto de venta basados en Android marca un cambio fundamental en el panorama tecnológico de los puntos de venta. Este cambio introduce interfaces avanzadas y fáciles de usar, pero también saca a la luz importantes consideraciones de seguridad. Las vulnerabilidades descubiertas por STM Cyber en los dispositivos de PAX Technology -especialmente en el modelo PAX A920, ampliamente utilizado- ponen de manifiesto la complejidad y la importancia de proteger estos sistemas. Estas vulnerabilidades, que van desde la ejecución local de código a la escalada de privilegios, ponen de relieve la necesidad de una vigilancia continua en materia de ciberseguridad en el ámbito de los pagos digitales, que evoluciona rápidamente.