وزير الهجرة تعلن مفاجأة سارة للمصريين بالخارج    محافظ الغربية يتابع استعدادات المركز التكنولوجي لاستقبال طلبات التصالح في مخالفات البناء    حماس: مصممون على اتفاق ينهي العدوان ووفد الحركة قد سلم الوسطاء ردنا    جوميز يمنح لاعبي الزمالك راحة غدا بعد الخسارة من سموحة    ضبط 550 بطاقة ذكية لصرف السلع المدعمة بمخزن في مطروح    «ابعتها لحبايبك».. أفضل رسائل التهنئة ب عيد شم النسيم 2024    فيديو.. محمد عبده يبكي خلال حديثه عن إصابته بالسرطان: هذا من محبة الله    الصحة: 2500 سيارة إسعاف منتشرة بالمتنزهات والطرق في شم النسيم    الوزير الفضلي يتفقّد مشاريع منظومة "البيئة" في الشرقية ويلتقي عددًا من المواطنين بالمنطقة    .تنسيق الأدوار القذرة .. قوات عباس تقتل المقاوم المطارد أحمد أبو الفول والصهاينة يقتحمون طولكرم وييغتالون 4 مقاومين    «جالانت» يحث «نتنياهو» بقبول صفقة التبادل ويصفها ب«الجيدة» (تفاصيل)    10 مايو.. انطلاق ملتقى الإسكندرية الأول للسرد العربي بمركز الإبداع    من شريهان إلى محمد عبده.. رحلة 8 فنانين حاربوا السرطان (تقرير)    نجل الطبلاوي: والدي كان مدرسة فريدة في تلاوة القرآن الكريم    وزير السياحة يستعرض مبادرات دعم القطاع    "الصحة" تشارك بالتأمين الطبى لعيد القيامة المجيد بكنائس الطور وشرم الشيخ    ظهر على سطح المياه.. انتشال جثمان غريق قرية جاردن بسيدي كرير بعد يومين من البحث    هل يجوز تعدد النية فى الصلاة؟ دار الإفتاء تجيب    والده مات بسببها منذ 10 سنوات.. خلافات على أرض زراعية تنهي حياة شاب في المنوفية    الإسكان: إصدار 4 آلاف قرار وزاري لتخصيص قطع أراضي في المدن الجديدة    روسيا تسيطر على قرية جديدة في شرق أوكرانيا    السلطات الإسرائيلية تداهم مقرا لقناة الجزيرة فى القدس المحتلة بعد قرار وقف عملها    الاتحاد الأوروبي يعتزم فرض عقوبات على موقع صوت أوروبا لبثه دعاية مؤيدة لروسيا    "العطاء بلا مقابل".. أمينة الفتوى تحدد صفات الحب الصادق بين الزوجين    أمينة الفتوى: لا مانع شرعيا فى الاعتراف بالحب بين الولد والبنت    الهلال يطلب التتويج بالدوري السعودي في ملعب المملكة أرينا    لجميع المواد.. أسئلة امتحانات الثانوية العامة 2024    طريقة عمل الميني بيتزا في المنزل بعجينة هشة وطرية    نقل مصابين اثنين من ضحايا حريق سوهاج إلى المستشفى الجامعي ببني سويف    تامر حبيب يعلن عن تعاون جديد مع منة شلبي    التحية لأهالى سيناء    «العمل»: جولات تفقدية لمواقع العمل ولجنة للحماية المدنية لتطبيق اشتراطات السلامة والصحة بالإسماعيلية    انطلاق مباراة ليفربول وتوتنهام.. محمد صلاح يقود الريدز    «أنا أهم من طه حسين».. يوسف زيدان يوضح تفاصيل حديثه عن عميد الأدب العربي    "صحة المنوفية" تتابع انتظام العمل وانتشار الفرق الطبية لتأمين الكنائس    فى لفتة إنسانية.. الداخلية تستجيب لالتماس سيدة مسنة باستخراج بطاقة الرقم القومى الخاصة بها وتسليمها لها بمنزلها    وزير الرياضة يتفقد مبنى مجلس مدينة شرم الشيخ الجديد    تقرير: ميناء أكتوبر يسهل حركة الواردات والصادرات بين الموانئ البرية والبحرية في مصر    التخطيط: 6.5 مليار جنيه استثمارات عامة بمحافظة الإسماعيلية خلال العام المالي الجاري    رئيس مدينة مرسى مطروح يعلن جاهزية المركز التكنولوجي لخدمة المواطنين لاستقبال طلبات التصالح    وزارة العمل تنظم ندوة لنشر تقافة الصحة المهنية بين العاملين ب"إسكان المنيا الجديدة"    الحكومة الإسرائيلية تقرر وقف عمل شبكة قنوات الجزيرة    5 مستشفيات حكومية للشراكة مع القطاع الخاص.. لماذا الجدل؟    طوارئ بمستشفيات بنها الجامعية في عيد القيامة وشم النسيم    موعد استطلاع هلال ذي القعدة و إجازة عيد الأضحى 2024    لاعب فاركو يجري جراحة الرباط الصليبي    الصحة الفلسطينية: الاحتلال ارتكب 3 مج.ازر في غزة راح ضحيتها 29 شهيدا    الإفتاء: كثرة الحلف في البيع والشراء منهي عنها شرعًا    كنائس الإسكندرية تستقبل المهنئين بعيد القيامة المجيد    «شباب المصريين بالخارج» مهنئًا الأقباط: سنظل نسيجًا واحدًا صامدًا في وجه أعداء الوطن    "خطة النواب": مصر استعادت ثقة مؤسسات التقييم الأجنبية بعد التحركات الأخيرة لدعم الاقتصاد    استشهاد ثلاثة مدنيين وإصابة آخرين في غارة إسرائيلية على بلدة ميس الجبل جنوب لبنان    ميسي وسواريز يكتبان التاريخ مع إنتر ميامي بفوز كاسح    مختار مختار يطالب بإراحة نجوم الأهلي قبل مواجهة الترجي    اليوم.. انطلاق مؤتمر الواعظات بأكاديمية الأوقاف    مختار مختار: عودة متولي تمثل إضافة قوية للأهلي    محافظ القليوبية يشهد قداس عيد القيامة المجيد بكنيسة السيدة العذراء ببنها    شم النسيم 2024 يوم الإثنين.. الإفتاء توضح هل الصيام فيه حرام؟    







شكرا على الإبلاغ!
سيتم حجب هذه الصورة تلقائيا عندما يتم الإبلاغ عنها من طرف عدة أشخاص.



اكتشاف ثغرات في أجهزة قراءة البطاقات الإئتمانية قد تؤدي إلى تسريب بيانات المشترين
الفجر نشر في الفجر يوم 13 - 08 - 2018

تعد أجهزة قراءة البطاقات الإئتمانية – التي تستخدم في متاجر البيع بالتجزئة المختلفة – حلًا عمليًا وسهلًا لإتمام عمليات البيع بالنسبة للمشتري والبائع على حد سواء، ومع تزايد معدل إستخدام هذه الأجهزة والإعتماد عليها فقد ظهرت بها بعض العيوب الأمنية، وللعلم فإن أكبر مصنعي هذه الأجهزة في العالم هم شركات سكوير Square وباي بال PayPal وiZettle وSumUp
قام كل من ليه-آن جالواي Leigh-Anne Galloway وتيم يونوسوف Tim Yunusov – من شركة Positive Technologies للحلول الأمنية – بفحص سبعة أجهزة لقراءة البطاقات الإئتمانية وقد كانت النتائج غير سارة، حيث تمكنوا من العثور على ثغرات بتلك الأجهزة مكنتهم من تعديل قيمة المبالغ المدفوعة، بل استطاعوا أيضًا التحكم بالجهاز بشكل كامل من على بعد، وذلك من خلال إستخدام تقنية البلوتوث أو بعض تطبيقات الهواتف الذكية.
قالت جالاوي :" السؤال الذي تبادر إلى أذهاننا في البداية كان يدور حول مستوى التأمين الذي يمكن أن يتضمنه جهاز سعره أقل من دولار؟" وتضيف : " بدأنا بجهازين مخصصين لقراءة البطاقات الإئتمانية ثم تطور الموضوع ليصبح مشروع بحثي كبير".
الشركات الأربعة الكبرى المصنعة لهذه الأجهزة تدرك الأمر ولكن نقاط الضعف ليست موجودة جميعها بنفس الشكل في جميع موديلات هذه الأجهزة، فمثلا في حالة أجهزة شركتي سكوير وباي بال فإن نقاط الضعف وجدت في أحد مكونات الجهاز الداخلية التي تم تصنيعها بواسطة شركة وسيطة تدعى Miura، وقد قام الباحثون بالإعلان عن النتائج التي توصلوا إليها في مؤتمر Black Hat Security يوم الخميس الماضي.
اكتشف الباحثون أنه يمكنهم استغلال الأخطاء المتعلقة بالإتصال بجهاز قراءة البطاقات الإئتمانية من خلال تقنية البلوتوث أو تطبيقات الهواتف لاعتراض المعاملات المالية أو تعديل الأوامر الخاصة بالجهاز، هذه الأخطاء قد تسمح للقراصنة بتوقيف معاملة مالية تتم عبر الجهاز ببطاقة ائتمانية، كما تسهل لهم نسخ بيانات البطاقة الائتمانية المستخدمة لإجراء المعاملة المالية.
يمكن أيضا للقراصنة أن يجعلوا جهاز قراءة البطاقات الإئتمانية يبدو وكأنه يرفض المعاملة ليجعل المستخدم يكررها عدة مرات، أو لتغيير إجمالي معاملة مالية ببطاقة تعمل بتقنية magstripe إلى حد 50 ألف دولار من خلال اعتراض حركة المرور وتعديل قيمة المعاملة بشكل سري، حيث يمكن للقراصنة الحصول على موافقة العميل على معاملة عادية تبدو قيمتها أكثر بكثير. في مثل هذه الأنواع من عمليات الاحتيال يعتمد العملاء على بنوكهم ومصدري بطاقات الائتمان لضمان خسائرهم، لكن magstripe هو بروتوكول موقوف والشركات التي تواصل استخدامه تتحمل المسؤولية.
وفي نفس السياق قام الباحثون باستعراض إمكانية قيام القراصنة فى التحكم بتلك الأجهزة من خلال تثبيت إصدار قديم من البرنامج الثابت Firmware أو إصدار خاص بهم يحتوي على تعليماتهم البرمجية، حيث لاحظوا أن بإمكانهم التحكم من على بعد بجهاز قراءة بطاقات الإئتمان موديل Miura M010 عن طريق إستغلال نقاط الضعف في الاتصال بالجهاز والقيام بتنفيذ كود برمجي والدخول إلى ملفات نظام تشغيل الجهاز، وقد لاحظت جالاوي أن القراصنة يمكنهم إستغلال هذا الأمر لتحويل وضع رقم PIN من وضع آمن ومشفر إلى أرقام مكشوفة وبذلك يستطيعون معرفة وتجميع أرقام PIN الخاصة بالمشترين.
كما أجرى الباحثون عملية تقييم لأجهزة قراءة بطاقات الإئتمان في مناطق بالولايات المتحدة وأوروبا حيث أن إعدادات تلك الأجهزة تختلف من مكان لآخر، وقد إكتشفوا أن جميع الأجهزة تقريبا بها نقاط ضعف، ولكن عدد محدود من الأجهزة فقط كان وضعه سيئًا للغاية لاحتوائه على عدد نقاط ضعف وقابلية عالية للإختراق.
قال المتحدث الرسمي لشركة سكوير لموقع Wired: " بمجرد علمنا بنقاط الضعف التي تم إكتشافها بجهاز قراءة البطاقات الإئتمانية موديل Miura M010 قمنا بإيقاف خطط الدعم المخصصة لهذا الموديل وإيقاف إنتاجه".
بينما قال المتحدث الرسمي لشركة SumUp : " إن شركتنا تؤكد عدم حدوث أي محاولات احتيال عن طريق أجهزة قراءة بطاقات الإئتمان الخاصة بنا والتي تستخدم طريقة الشريط الممغنط"، وأضاف : "بمجرد أن اتصل بنا الباحثون القائمون على هذا البحث الأمني وابلغونا بنتائجه، قام فريق العمل لدينا بمعالجة كل نقاط الضعف التي قد تؤدي إلى حدوث أي محاولات احتيال عبر أجهزتنا".
أما المتحدث الرسمي لشركة باي بال فقد قال: " نحن ندرك الأهمية التي يشكلها دور هؤلاء الباحثون للمساعدة في الحفاظ على باي بال أكثر آمانًا، ونحن نؤكد أن أنظمتنا لم تتأثر بنقاط الضعف المعلن عنها كما أن فريق العمل لدينا قد قام بمعالجة هذا الأمر".
وبالنسبة لشركة iZettle فلم تستجب لطلب موقع Wired للتعليق على الأمر، ولكن الباحثون قالوا إن الشركة بإصلاح هذه الأخطاء بأجهزتهم، ومن جهتهم أبدى كل من جالاوي و يونوسوف سعادتهما بردود الفعل الإيجابية من الشركات المصنعة لأجهزة قراءة البطاقات الإئتمانية، كما يأملان في أن تساهم إكتشافاتهم في رفع مستوى الوعي تجاه الإهتمام بتطوير مستوى الحماية الأمنية للأجهة المدمجة Embedded devices منخفضة التكلفة.

انقر هنا لقراءة الخبر من مصدره.