І навіть змінювати суму операції.
Термінали торгових точок (PoS) від PAX Technology мають цілий набір вразливостей високого ступеня серйозності, що їх можуть використати зловмисники для виконання довільного коду. За даними команди STM Cyber R&D, яка провела зворотне проєктування PAX PoS на базі Android, таких помилок щонайменше шість. Успішне їх використання може дозволити злочинцю підвищити привілеї та обійти засоби захисту ізольованого програмного середовища, фактично отримавши карт-бланш на виконання будь-яких дій. А коли йдеться про фінанси, можливостей відкривається безліч – приміром, можливе втручання в платіжні операції зі зміною даних, які програма продавця надсилає до захищеного процесора, включно із сумою транзакції.
PAX Technology Limited – це китайський виробник платіжних терміналів, зокрема, для безконтактної оплати, та обладнання і ПЗ для торгових точок, один зі світових лідерів у цій галузі. Польська компанія STM Cyber R&D повідомила PAX про результати свого тестування на проникнення ще на початку травня 2023 року. Виправлення від PAX з’явилося у листопаді 2023 року. З огляду на поширеність таких терміналів не лише в Польщі радимо переконатися, що відповідне оновлення ви встановили.
