Pagamenti con POS Android meno sicuri? Facciamo chiarezza con l’esperto #finsubito prestito immediato

I pagamenti digitali e con carta di credito sono sempre più popolari, sia in Italia che all’estero. La graduale sostituzione del denaro contante con le altre forme di pagamento procede spedita e il mondo dell’hi-tech sta facendo la sua parte nella dematerializzazione della moneta: solo pochi mesi fa, per esempio, Apple ha esteso Tap to Pay on iPhone anche all’Italia, rendendo il melafonino una sorta di POS ad alta tecnologia.
Nel mentre, lo stop alle commissioni per i pagamenti con carta di credito al di sotto dei dieci euro ha convinto anche i più scettici, sia tra i consumatori che tra gli esercenti, a pensionare il contante anche per le piccole transazioni.
Il passaggio verso un’economia digitalizzata ha tanti pregi, senza dubbio, ma ci sono anche degli enormi problemi di sicurezza: lo sapevate, per esempio, che i POS “smart” con sistema operativo Android potrebbero essere meno sicuri di quelli tradizionali? Ne abbiamo parlato con Jacopo Jannone, Senior Security Engineer di Security Network e speaker al No Hat 2024, conferenza dedicata alla cybersecurity che si terrà il 19 ottobre a Bergamo.

Le differenze tra i POS tradizionali e i POS Android

Partiamo dalle basi: cosa cambia tra un POS tradizionale e uno “smart”? «Il punto di partenza dei pagamenti digitali sono i POS tradizionali. Si tratta di dispositivi il cui software e il cui hardware sono stati sviluppati con l’unico scopo di processare pagamenti.

Quindi sono basati su microcontrollori progettati appositamente per compiere questo lavoro», esordisce Jannone. In altre parole, i POS tradizionali hanno un hardware custom e un software sviluppato ad hoc: «il codice è spesso scritto in linguaggi di basso livello, come il C++, perciò è più semplice di quello di un POS moderno, che monta lo stesso sistema operativo di uno smartphone Android. Però si tratta anche di dispositivi più specializzati: fanno una sola cosa e sono pensati per fare unicamente quella». Il vantaggio, in questo caso, è che anche le misure di sicurezza sono totalmente personalizzate, esattamente come le componenti fisiche del device: «come il software, anche l’hardware è semplice. Si parte da un processore simile a quello degli smartphone, a cui vengono affiancati chip aggiuntivi che si interfacciano con le periferiche che i telefoni non hanno, come il lettore delle carte, la banda magnetica e la stampante degli scontrini». Se c’è una cosa che accomuna i POS di nuova e di vecchia generazione, però, è il loro elevato livello di sicurezza fisica: «entrambi sono dotati di una serie di microinterruttori, di sensori e di meccanismi grazie ai quali tutte le informazioni sensibili vengono cancellate – o meglio, dovrebbero essere cancellate – quando si tenta di forzare fisicamente il prodotto», continua l’esperto di cybersecurity.

Nel caso dei POS Android, l’hardware resta grossomodo lo stesso, mentre a cambiare è il software: «qui non c’è codice su misura. Si prende un sistema operativo utilizzato su tanti altri dispositivi e lo si adatta in qualche modo per assolvere alle funzionalità di un POS. Non si tratta di qualcosa che viene scritto da zero con un chiaro obiettivo in mente: si parte da una base più generale, da un sistema operativo che può fare qualunque cosa, e lo si limita, lo si riaggiusta e lo si adegua perché processi i pagamenti e poco più», aggiunge Jannone. L’altra differenza riguarda le connessioni: il nostro intervistato, infatti, ci spiega che «i POS tradizionali non hanno porte USB, non hanno fotocamere, a volte non hanno nemmeno opzioni avanzate di connettività.

Alcuni si fermano alle connessioni 2G, dunque a standard molto lenti di trasferimento dei dati. Si tratta di dispositivi con un’apertura limitata verso l’esterno e con un sistema operativo “monolitico”, sul quale non si può far girare qualcosa di diverso dalle applicazioni per i pagamenti, perché semplicemente le alternative non esistono. In linea puramente teorica, i microcontrollori possono eseguire qualsiasi tipo di codice, ma nei POS tradizionali manca il concetto di modularità e di apertura, dunque è difficile introdursi nel software ed eseguire codice malevolo. Ed è impossibile farlo da remoto, per via delle minime opzioni di connettività wireless».

Dunque, la vulnerabilità dei POS tradizionali è fisica, si colloca sul livello hardware. «Per questo, esiste da sempre la tradizione di inserire sotto la loro scocca un sacco di sensori che rilevano se qualcuno sta cercando di smontare il dispositivo.

Perché è risaputo che, se ci si riuscisse a collegare fisicamente alla scheda logica, si potrebbero portare avanti diversi tipi di attacco, da quelli più semplici e incentrati sui segnali elettrici a quelli più avanzati, che si basano sul rumore elettromagnetico prodotto dal processore durante le transazioni. In generale, però, tutti questi attacchi sono “di basso livello”, più vicini al mondo dell’elettronica che a quello dell’informatica. Per questo, anche il focus degli sviluppatori è stato sulla sicurezza fisica e non su quella del software». Ma quindi i POS più vecchi sono anche quelli più sicuri? «Non proprio: il loro software non è impenetrabile o eccezionalmente sicuro. Semplicemente si presta a pochi utilizzi, fornisce poche opportunità. In gergo si dice che la superficie di attacco è piccola, quindi ci sono poche opportunità di far fare al dispositivo qualcosa di diverso da ciò per cui è stato programmato», riporta Jannone.

Connettività, software e aggiornamenti

A questo punto, però, viene da chiedersi se Android rappresenti una vulnerabilità aggiuntiva per i nostri sistemi di pagamento e perché si sia deciso di fare il “salto” dai sistemi ad hoc a quelli basati sul sistema operativo di Google. «Non possiamo dire che sia una vulnerabilità aggiuntiva. Semmai è una vulnerabilità diversa: Android è un sistema operativo generale e dunque complesso. Ha tante funzionalità e può fare tante cose, è più versatile e semplice da usare: per questo sta guadagnando pubblico. Supporta l’interfaccia via USB con il PC, le fotocamere, il GPS, i display esterni. È una questione puramente statistica: più sono le funzionalità disponibili, più è probabile che all’interno di una di esse vi sia una vulnerabilità.

In generale, più è alto il livello di complessità di un prodotto e più è probabile che da qualche parte vi siano delle falle. La superficie di attacco è più ampia, insomma». In altre parole, i POS Android sono più vulnerabili dal punto di vista software rispetto a quelli tradizionali: un risultato paradossale, se consideriamo che il sistema operativo di Big G è ben più complesso di qualsiasi applicativo scritto in C++. L’altra grossa questione è quella della connettività: «per “bucare” un POS tradizionale devi averlo in mano, devi giocarci per un po’. Invece, i POS Android presentano opzioni di accesso diverse, anche da remoto. Sui POS smart è possibile installare applicazioni scaricate dal web, per esempio: le app sono dei vettori di attacco, delle potenziali porte di ingresso per i malware. E sui POS tradizionali non ci sono, quindi c’è almeno una via in meno per un aggressore che vuole portare avanti un attacco».

E poi c’è la questione degli aggiornamenti software. Un po’ come gli smartphone, anche i POS Android andrebbero aggiornati… ma non sempre è possibile farlo: «uno dei problemi cronici di Android, nel mondo della telefonia come in quello dei POS, è la frammentazione delle versioni», dice il nostro esperto di cybersecurity.

«Ci troviamo di fronte a un sistema operativo supportato da una miriade di dispositivi diversi. Uno dei problemi di questo proliferare di device e versioni di Android è che i produttori dei POS spesso supportano i loro prodotti solo per un anno o due con aggiornamenti e patch. Poi smettono di rilasciare gli update. Ovviamente nel settore dei pagamenti digitali i regolatori sono più attenti e ci sono delle norme di sicurezza da rispettare: non esiste che un produttore metta in commercio un dispositivo e non rilasci più alcun aggiornamento. Però ci sono POS che sono fermi ad Android 5, quindi a dieci anni fa. I più moderni e di fascia alta hanno versioni “relativamente” moderne del sistema operativo, come Android 10 o Android 12. La frammentazione degli aggiornamenti software può essere un vantaggio, perché impedisce lo sviluppo di soluzioni trasversali per tutti i device in commercio. Al contempo, però, una versione non aggiornata di Android può avere vulnerabilità note, sulle quali non è necessaria così tanta ricerca prima di tentare lo sviluppo di un exploit.

Ritorno al contante? Assolutamente no!

Giunti a questo punto, potrebbe esservi venuta voglia di tornare al caro, vecchio contante per le vostre transazioni. Mettiamo però da parte ogni allarmismo, perché “bucare” un POS Android resta comunque un’impresa titanica. «Per arrivare a sfruttare molte delle vulnerabilità dei POS smart – tra cui quella di cui parlerò nel mio talk a “No Hat 2024” – è necessario un accesso fisico al dispositivo. Quindi c’è un modo semplice per tutelarsi, e passa per gli esercenti: mai lasciare il POS in un posto accessibile al pubblico senza osservazione diretta dello staff. È una regola che viene implementata in ogni negozio, o quasi.

Per tutelarsi dalle minacce che non richiedono l’accesso all’hardware, invece, è una buona idea tenere sempre aggiornato il dispositivo. Anche nel caso dei negozianti meno “tecnologici”, spesso i POS Android prevedono gli aggiornamenti automatici, quindi l’unico modo per non installare un update a lungo è tenere il device sempre spento, accendendolo solo al bisogno quando qualcuno chiede di effettuare una transazione con carta di credito. Ma visto che il numero dei pagamenti digitali è in crescita, dubito che un negoziante possa tenere il proprio POS spento molto a lungo», aggiunge Jannone, che ci tiene anche a specificare che «è improbabile che le vulnerabilità che ho scoperto diventino “mainstream”: il consumatore medio non dovrebbe preoccuparsi di nulla quando effettua un pagamento elettronico. L’intento della mia ricerca non è certo quello di favorire il ritorno al contante».