Błędy mają pozwalać m.in. na podmianę kwoty transakcji lub ponowne wykonanie raz zrealizowanej płatności
O wykryciu kilku luk w zabezpieczeniach urządzeń typu mPOS poinformowali badacze firmy Positive Technologies. Znaleziono je w terminalach takich firm jak Square, SumUp, iZettle oraz PayPal. Dwie z nich, a więc SumUp i PayPal działają na polskim rynku, a SumUp sprzedaje tu swoje mPOS-y. Positive Technologies podaje, że informacje o wykrytych błędach zostały już przekazane producentom.
Luki, o których mowa, dotyczą urządzeń wykorzystujących komunikację Bluetooth. Umożliwiają one m.in. wymuszenie przeprowadzenia płatności przy pomocy paska magnetycznego, który zapewnia niższy poziom bezpieczeństwa w porównaniu z transakcją przy wykorzystaniu mikroprocesora i modułu zbliżeniowego. Następnie płatność realizowaną paskiem można zmanipulować m.in. poprzez podmianę bez wiedzy klienta wartości transakcji. Można też wygenerować fałszywy komunikat o anulowaniu płatności, co może zachęcić klienta do przeprowadzenia kolejnej na tę samą kwotę.
Z informacji prasowej Positive Technologies wynika, że aby oszustwo przy pomocy wykrytych luk mogło dojść do sutku, z przestępcami muszą współpracować nieuczciwi użytkownicy mPOS-ów, a więc np. właściciele sklepów. To na należące do nich rachunki trafią bowiem pieniądze z fraudowych płatności. A to powinno zmniejszyć ryzyko powodzenia takiego procederu, bo oszukańcze transakcje będą łatwe do wytropienia. Ponadto sprzedawcy nim otrzymają mPOS-y, są weryfikowani przez operatorów terminali. Niemniej przedstawiciele Positive Technologies radzą klientom płacącym na mobilnych terminalach, by, jeśli to możliwe, korzystali z kart bezstykowo.