Un ingegnere informatico ha scoperto diverse vulnerabilità che permetterebbero di utilizzare i POS su Android per clonare le carte di credito. Scopri come!

In principio erano i POS (Point of Sale), e permettevano di pagare strisciando la carta di credito o il bancomat. Poi si sono evoluti, fino alla recente introduzione della modalità contactless. E infine sono arrivati i POS sui dispositivi Android: qualsiasi smartphone o tablet con il sistema operativo Android può essere usato per accettare pagamenti.

Il problema è che, secondo l’ingegnere e penetration tester Jacopo Jannone, questi dispositivi sono vulnerabili a una serie di attacchi e manomissioni, principalmente da parte di chi ha accesso fisico al dispositivo.

In questo post parliamo della sicurezza dei POS Android, delle vulnerabilità e dei possibili attacchi a cui sono esposti, e di come proteggere i POS su Android per chi ha un negozio o un locale. Buona lettura!

Il POS si è convertito in un’altra app installata su un dispositivo Android, generalmente lo smartphone o un tablet dedicato.

Cosa sono i POS Android

Le grandi catene di negozi (ma anche molti piccoli professionisti) utilizzano già questa nuova tecnologia: il POS si è convertito in un’altra app installata su un dispositivo Android, generalmente lo smartphone o un tablet dedicato.

Invece di inserire la carta o appoggiarla sul tipico lettore con schermo a cristalli liquidi, il cliente deve solo appoggiarla sullo schermo del dispositivo Android dotato di tecnologia NFC e l’app registra i dati di pagamento, li cripta e li invia alla passerella di pagamento.

In alternativa, il cliente può anche usare un’app come Apple Pay o Google Pay per aggiungere un livello di sicurezza in più (ne riparleremo più avanti).

I POS su Android hanno diversi vantaggi:

  • Maggiore flessibilità
  • Maggiore portabilità
  • Maggiore durata della batteria
  • Meno problemi di connessione
  • Moltissime funzionalità in più

Oltre alle evidenti comodità di usare uno smartphone che può essere portato ovunque, il grande vantaggio è l’ultimo dell’elenco: le funzionalità.

Il POS su Android è un’app, per cui tutto diventa digitale e può essere integrato con mille flussi di lavoro e applicazioni, ad esempio per aggiornare in tempo reale la disponibilità di prodotti in negozio o per aggiungere i dati sulle vendite ai report e altri file di analisi. Insomma, le possibilità sono infinite.

Vulnerabilità dei POS Android

I lunghi elenchi di vantaggi sono sempre accompagnati da qualche svantaggio. In questo caso, il tasto dolente dei POS su Android è la sicurezza dei clienti.

Il penetration tester Jacopo Jannozzi, che ha presentato la sua ricerca al No Hat 2024, ha individuato una catena di vulnerabilità che inizia con un hacking fisico e sfrutta i punti deboli delle app POS per consentire quello che potremmo chiamare uno skimming digitale.

In origine, lo skimming è un tipo di hacking fisico che consiste nell’uso di diversi dispositivi per registrare i dati delle carte di credito e dei bancomat delle vittime, che di solito venivano installati negli sportelli bancomat o usati nei locali e nei negozi.

In questo caso, si tratterebbe di un malware installato sul dispositivo, quindi uno skimmer digitale. Questo malware potrebbe sfruttare le vulnerabilità dei programmi POS per intercettare i dati di pagamento delle carte dei clienti e inviarli a un server remoto, controllato dal cybercriminale.

Per installarlo, servirebbe l’accesso fisico al dispositivo, dato che abitualmente questi apparecchi Android sono connessi a reti interne e non comunicano direttamente con internet, proprio per minimizzare i rischi di sicurezza.

Di fatto, l’anello debole in questo caso sarebbe un eventuale dipendente malintenzionato, che potrebbe approfittare dei propri privilegi di accesso per installare i malware necessari per manomettere il dispositivo Android che ospita il POS.

Tutto questo, per inciso, non è possibile sui POS digitali “tradizionali”, perché hanno un sistema operativo chiuso e sono molto più basilari. Di fatto sono molto più simili a un registratore di cassa che a un telefono.

LEGGI ANCHE: Cosa fare se ti clonano la carta di credito

Esempio di manomissione di POS Android

Per capire meglio il problema, facciamo un esempio di come potrebbe avvenire un attacco. Marco lavora per una catena di negozi di abbigliamento da diversi anni. Ha discreti privilegi di accesso, che gli servono per andare in magazzino, parlare con i manager e inserire i dati nei programmi di gestione aziendale.

Marco, però, ha una seconda vita: quando esce dal negozio dove lavora si converte in un hacker che naviga sul web alla ricerca di potenziali vittime per i suoi attacchi.

Recentemente, la catena di negozi in cui lavora ha cambiato i POS tradizionali, sostituendoli con dei tablet Android e dandone uno a ogni dipendente, in modo che possano inserire dati e comunicare in ogni momento, agilizzando le operazioni aziendali e aumentando la produttività complessiva del punto vendita.

Marco, che ha accesso fisico ai nuovi tablet, prepara uno spyware e lo salva su una chiavetta USB, che poi inserisce nel tablet in modo che lo spyware si installi automaticamente. A questo punto, lo spyware inizia a registrare le transazioni economiche, tra cui anche i dati delle carte di credito e i dati sensibili dei clienti, e li invia a un server remoto e protetto.

Marco, che ha anche accesso al database dei clienti, incrocia questi dati e riesce a risalire ai PIN e alle password delle vittime, e il gioco è fatto. Ora, Marco può clonare e usare i bancomat dei clienti, bypassando i controlli di sicurezza grazie ai dati aggiuntivi che ha trovato.

Se vuoi dare la priorità alla sicurezza, puoi combinare un tablet Android per raccogliere ed elaborare i dati del negozio e un POS digitale tradizionale solo per i pagamenti.

Quanto sono sicuri i POS Android

Questo è lo scenario descritto dal penetration tester che ha sollevato il problema. Nella pratica, questi attacchi sono più complessi, perché tutte le connessioni e i dispositivi delle reti interne sono monitorati, ma soprattutto perché le applicazioni di POS non sono così facili da bucare per i malware.

Tuttavia, la cronaca ci insegna che non esiste un sistema o un dispositivo inespugnabile: prima o poi arriverà un hacker che troverà un modo per sfruttare le vulnerabilità dei POS su Android in combinazione con l’accesso fisico al dispositivo mobile.

Per questo motivo, è importante utilizzare tutte le misure di sicurezza disponibili, sia per i clienti sia per le aziende che usano i POS digitali su sistema Android.

Consigli di sicurezza per i POS Android

Se hai un negozio o utilizzi un POS su dispositivo Android, ecco cosa devi fare per rafforzarne la sicurezza e proteggere le transazioni e i dati dei tuoi clienti:

  • Mantieni aggiornato il sistema operativo: installa regolarmente gli aggiornamenti di Android per correggere le vulnerabilità note e proteggere il dispositivo.
  • Installa solo app ufficiali: non usare app di terze parti non verificate – anche se sono più economiche o addirittura gratuite – perché potrebbero contenere malware o software dannosi che mettono a rischio i dati.
  • Utilizza una VPN aziendale: la VPN (Virtual Private Network) crea una connessione sicura per i dati, specialmente quando il POS è collegato a reti più ampie o non protette.
  • Usa la crittografia dei dati: assicurati che le informazioni sensibili, come i dati delle carte di credito, siano crittografate per impedire accessi non autorizzati.
  • Usa bene le password: utilizza password complesse e uniche per il dispositivo, affidandoti a un password manager.
  • Abilita l’autenticazione a due fattori (2FA): questa misura di sicurezza aggiuntiva protegge l’accesso al POS anche in caso di compromissione della password.
  • Stabilisci delle politiche di sicurezza per i dipendenti: se hai dei dipendenti che hanno accesso fisico ai dispositivi e possono modificare i dati, scrivi un elenco di regole di sicurezza per proteggere i dati dei clienti sia dalle minacce esterne che da quelle interne.
  • Combina dispositivi Android e POS separati: se vuoi dare la priorità alla sicurezza dei clienti, puoi usare entrambi i dispositivi, ad esempio un tablet Android che raccoglie ed elabora i dati del negozio e un POS digitale tradizionale solo per i pagamenti.

Seguendo questi consigli, migliorerai notevolmente il livello di sicurezza digitale del tuo negozio o locale, nonché quello delle persone che lavorano per te.

Domande frequenti

Per concludere, vediamo alcune delle domande più comuni sui POS Android e sui relativi problemi di sicurezza.

Quali sono i rischi principali legati all’uso di un POS Android?

I POS basati su Android, come qualsiasi dispositivo connesso a internet, possono essere vulnerabili a malware, accessi non autorizzati e attacchi di phishing.

È davvero necessario aggiornare spesso il sistema operativo del POS?

Sì, è fondamentale mantenere aggiornato il sistema operativo del POS. Gli aggiornamenti includono spesso patch di sicurezza che risolvono vulnerabilità note, riducendo il rischio di attacchi e migliorando il livello di protezione.

Posso installare qualsiasi app sul mio POS Android?

Ti consigliamo di installare solo app ufficiali e verificate da Google Play o da fonti aziendali affidabili. Le app di terze parti non verificate possono contenere malware e compromettere la sicurezza dei dati inseriti sul POS.

Come faccio a proteggere il mio POS Android quando mi connetto a una rete Wi-Fi pubblica?

In questi casi, l’ideale è utilizzare una VPN. Le reti private virtuali codificano tutti i dati in entrata e in uscita, impedendo a eventuali criminali di intercettarli e utilizzarli.

Che cosa succede se un dipendente dimentica di disconnettersi dal POS?

Lasciare un POS Android connesso e incustodito può esporlo ad accessi non autorizzati, aumentando il rischio di furti di dati o modifiche non autorizzate. Per questo motivo, è importante che tutti i dipendenti si disconnettano quando non utilizzano più il POS e seguano dei corsi di formazione periodici sulla sicurezza informatica aziendale.

È sicuro pagare con la carta su un POS Android?

In generale sì, anche perché eventuali frodi o furti vengono risarciti dalle banche (a meno che tu non abbia commesso una negligenza evidente). Inoltre, è possibile aggiungere un livello di sicurezza in più, usando un servizio di pagamento come Google Pay o Apple Pay, o altri intermediari, come carte prepagate o monouso.

In questo post abbiamo visto le potenziali vulnerabilità dei POS Android e cosa può fare una piccola azienda (o il manager di un negozio di una catena) per migliorare la sicurezza dei dispositivi e proteggere sia i dipendenti che i clienti finali.

CONTINUA A LEGGERE: Le smart home stanno diventando sempre più smart

Buona navigazione e buon utilizzo sicuro dei POS Android!