Apple thường bán những chiếc Macbook của mình với giá khá cao nhưng tin tặc đã tìm ra cách điều khiển hệ thống bán hàng để giảm giá thành sản phẩm xuống chỉ còn 1 USD.
Các nhà nghiên cứu từ công ty phần mềm bảo mật ERPScan đã phát hiện ra một lỗ hổng trong các thiết bị đầu cuối tại điểm bán hàng do SAP và Oracle phát triển.
Can thiệp vào các thiết bị POS đầu cuối này, Dmitry Chastuhin and Vladimir Egorov của ERPScan phát hiện ra rằng máy chủ Xpress của hệ thống bị thiếu một loạt các biện pháp ủy quyền. Điều gây chấn động là ngoài việc truy cập được vào dữ liệu thẻ tín dụng, lỗ hổng còn cho phép kẻ tấn công kiểm soát được máy chủ.
Như vậy, tin tặc có thể điều khiển và tắt thiết bị đầu cuối từ xa.
Chastuhin nói: “Nói chung, đó không phải là vấn đề của SAP. Nhiều hệ thống POS có kiến trúc tương tự và cùng một lỗ hổng. Các kết nối giữa máy trạm POS với máy chủ lưu trữ thiếu “thủ tục ủy quyền và mã hóa” và hầu như không hề có ai quan tâm đến điều này. Vì vậy, khi có một cuộc tấn công xảy ra, tin tặc sẽ có toàn quyền kiểm soát hệ thống”.
Chastuhin và Egorov đã tải lên video chứng minh cho phát hiện của mình lên YouTube. Trong đoạn video này, các nhà nghiên cứu cho thấy kẻ tấn công có thể sử dụng Raspberry Pi giá 25 USD để truy cập vào phần mềm trên thiết bị POS đầu cuối và cài đặt phần mềm độc hại nhằm tạo ra giá giả mạo.
ERPScan lần đầu tiên tiết lộ lỗ hổng cho SAP hồi tháng 4 năm nay. SAP đã vá thành công cả 2 lỗ hổng hồi tháng 7 vừa qua nên rất may là chưa có thiệt hại gì lớn cho Apple và các đại lý bán lẻ.
Theo GenK