سمحت الهواتف الذكية المزودة بتقنية NFC للباحثين باختراق أنظمة نقاط البيع وأجهزة الصراف الآلي، والحصول على تنفيذ تعليمات برمجية مخصصة على بعضها.
على الرغم من كونها إحدى الطرق الوحيدة لسحب الأموال من حسابك المصرفي أثناء التنقل، إلا أن أجهزة الصراف الآلي كانت تعاني من سلسلة من المشكلات الأمنية على مر السنين. حتى الآن، ليس هناك ما يمنع المتسلل من وضع مقشدة البطاقة على ماكينة الصراف الآلي، حيث أن معظم الناس لن يلاحظوا وجودها أبدًا. وبطبيعة الحال، كان هناك أيضًا عدد من الهجمات الأخرى على مر السنين والتي كانت أكثر تعقيدًا من ذلك، ولكن بشكل عام، يجب عليك دائمًا توخي الحذر عند استخدام أجهزة الصراف الآلي. توجد الآن طريقة جديدة لاختراق أجهزة الصراف الآلي، وكل ما يتطلبه الأمر هو هاتف ذكي مزود بتقنية NFC.
مثل سلكي تقارير, جوزيب رودريجيز هو باحث ومستشار في شركة IOActive، وهي شركة أمنية مقرها في سياتل، واشنطن، وقد أمضى العام الماضي في البحث عن نقاط الضعف في قارئات NFC المستخدمة في أجهزة الصراف الآلي وأنظمة نقاط البيع. تتيح لك العديد من أجهزة الصراف الآلي حول العالم النقر على بطاقة الخصم أو الائتمان الخاصة بك لإدخال رقم التعريف الشخصي الخاص بك وسحب النقود، بدلاً من مطالبتك بإدخاله في ماكينة الصراف الآلي نفسها. على الرغم من أنه أكثر ملاءمة، إلا أنه يتغلب أيضًا على مشكلة وجود مقشدة البطاقة الفعلية فوق قارئ البطاقة. تعد المدفوعات غير التلامسية على أنظمة نقاط البيع موجودة أيضًا في كل مكان في هذه المرحلة.
اختراق قارئات NFC
قام Rodriquez بتصميم تطبيق Android يمنح هاتفه القدرة على محاكاة اتصالات بطاقة الائتمان واستغلال العيوب في البرامج الثابتة لأنظمة NFC. من خلال التلويح بهاتفه فوق قارئ NFC، يمكنه ربط عدة عمليات استغلال لتعطيل أجهزة نقاط البيع واختراقها لجمع ونقل بيانات البطاقة، وتغيير قيمة المعاملات، وحتى قفل الأجهزة برسالة فدية.
علاوة على ذلك، يقول رودريجيز إنه يمكنه أيضًا إجبار علامة تجارية واحدة على الأقل من أجهزة الصراف الآلي غير مسماة على توزيع النقود، على الرغم من أنها تعمل فقط مع الأخطاء التي وجدها في برنامج ماكينة الصراف الآلي. هذا يسمي "الفوز بالجائزة الكبرى"، حيث يوجد العديد من الطرق التي حاول بها المجرمون على مر السنين الوصول إلى أجهزة الصراف الآلي لسرقة الأموال. ورفض تحديد العلامة التجارية أو الطرق بسبب اتفاقيات عدم الإفصاح مع بائعي أجهزة الصراف الآلي.
"يمكنك تعديل البرنامج الثابت وتغيير السعر إلى دولار واحد، على سبيل المثال، حتى عندما تظهر الشاشة أنك تدفع 50 دولارًا. يمكنك جعل الجهاز عديم الفائدة، أو تثبيت نوع من برامج الفدية. هناك الكثير من الاحتمالات هنا " يقول رودريغيز عن هجمات نقاط البيع التي اكتشفها. "إذا قمت بتسلسل الهجوم وأرسلت أيضًا حمولة خاصة إلى كمبيوتر ماكينة الصراف الآلي، فيمكنك الفوز بالجائزة الكبرى لجهاز الصراف الآلي - مثل صرف النقود، فقط عن طريق النقر على هاتفك."
المصدر: جوزيب رودريجيز
يشمل البائعون المتأثرون ID Tech، وIngenico، وVerifone، وCrane Payment Innovations، وBBPOS، وNexgo، وبائع أجهزة الصراف الآلي غير مسمى، وقد تم تنبيههم جميعًا في الفترة ما بين 7 أشهر وعام مضت. ومع ذلك، فإن معظم أنظمة نقاط البيع لا تتلقى تحديثات البرامج أو نادرًا ما تفعل ذلك، ومن المحتمل أن العديد منها يتطلب الوصول الفعلي للقيام بذلك. ولذلك، فمن المرجح أن العديد منهم لا يزالون عرضة للخطر. "إن إصلاح مئات الآلاف من أجهزة الصراف الآلي ماديًا، هو أمر قد يتطلب الكثير من الوقت." يقول رودريجيز.
لتوضيح نقاط الضعف، شارك رودريجيز مقطع فيديو مع سلكي يظهر فيه وهو يلوح بهاتفه الذكي فوق قارئ NFC الخاص بجهاز الصراف الآلي في مدريد، مما يتسبب في عرض الجهاز لرسالة خطأ. لم يُظهر هجوم الفوز بالجائزة الكبرى، لأنه لم يتمكن من اختباره قانونيًا إلا على الأجهزة التي تم الحصول عليها كجزء من الاستشارات الأمنية لشركة IOActive، الأمر الذي من شأنه أن ينتهك بعد ذلك اتفاقية عدم الإفصاح الخاصة بهم. سأل رودريجيز سلكي عدم نشر الفيديو خوفاً من المسؤولية القانونية.
النتائج هي "بحث ممتاز حول نقاط الضعف في البرامج التي تعمل على الأجهزة المدمجة،" يقول كارستن نوهل، مؤسس شركة الأمن SRLabs ومخترق البرامج الثابتة، الذي قام بمراجعة عمل رودريجيز. ذكر نوهل أيضًا أن هناك بعض العيوب التي يواجهها اللصوص في العالم الحقيقي، بما في ذلك اختراق تقنية NFC. سيسمح القارئ للمهاجم فقط بسرقة بيانات بطاقة الائتمان ذات الشريط المغناطيسي، وليس رقم التعريف الشخصي أو البيانات من EMV رقائق. يتطلب هجوم الفوز بالجائزة الكبرى لأجهزة الصراف الآلي أيضًا وجود ثغرة أمنية في البرامج الثابتة لأجهزة الصراف الآلي، وهو ما يمثل عائقًا كبيرًا.
ومع ذلك، فإن الوصول لتنفيذ التعليمات البرمجية على هذه الأجهزة يعد ثغرة أمنية كبيرة في حد ذاته، وغالبًا ما يكون نقطة الدخول الأولى في أي نظام حتى لو لم يكن أكثر من وصول على مستوى المستخدم. بمجرد تجاوز الطبقة الخارجية من الأمان، غالبًا ما تكون أنظمة البرامج الداخلية غير آمنة على الإطلاق.
أعجب الرئيس التنفيذي لشركة Red Balloon وكبير العلماء Ang Cui بالنتائج. "أعتقد أنه من المعقول جدًا أنه بمجرد تنفيذ التعليمات البرمجية على أي من هذه الأجهزة، يجب أن تكون قادرًا على الحصول على مباشرة إلى وحدة التحكم الرئيسية، لأن هذا الشيء مليء بالثغرات الأمنية التي لم يتم إصلاحها منذ أكثر من عام عقد،" يقول كوي. "من هناك،" هو يضيف، "يمكنك التحكم بشكل مطلق في موزع الكاسيت" الذي يحمل ويطلق النقدية للمستخدمين.
تنفيذ التعليمات البرمجية المخصصة
تعد القدرة على تنفيذ تعليمات برمجية مخصصة على أي جهاز بمثابة ثغرة أمنية كبيرة وتمنح المهاجم القدرة على فحص الأنظمة الأساسية في الجهاز للعثور على المزيد من الثغرات الأمنية. يعد Nintendo 3DS مثالًا رئيسيًا على ذلك: لعبة تسمى مكعب النينجا كانت إحدى الطرق الأولى لاستغلال 3DS وتنفيذ البيرة المنزلية. تسببت الثغرة، التي أطلق عليها اسم "Ninjhax"، في تجاوز سعة المخزن المؤقت مما أدى إلى تنفيذ تعليمات برمجية مخصصة. في حين أن اللعبة نفسها لم يكن لديها سوى وصول على مستوى المستخدم إلى النظام، أصبحت Ninjhax قاعدة لمزيد من عمليات الاستغلال لتشغيل البرامج الثابتة المخصصة على 3DS.
للتبسيط: يتم تشغيل تجاوز سعة المخزن المؤقت عندما يتجاوز حجم البيانات المرسلة مساحة التخزين المخصصة لتلك البيانات، مما يعني أنه يتم بعد ذلك تخزين البيانات الزائدة في مناطق الذاكرة المجاورة. إذا كانت منطقة الذاكرة المجاورة قادرة على تنفيذ التعليمات البرمجية، فيمكن للمهاجم إساءة استخدام هذا لملء المخزن المؤقت به البيانات المهملة، ثم قم بإلحاق التعليمات البرمجية القابلة للتنفيذ في نهايتها، حيث سيتم قراءتها في المجلدات المجاورة ذاكرة. لا يمكن لجميع هجمات تجاوز سعة المخزن المؤقت تنفيذ تعليمات برمجية، والعديد منها سيؤدي ببساطة إلى تعطل البرنامج أو التسبب في سلوك غير متوقع. على سبيل المثال، إذا كان الحقل يمكنه استيعاب 8 بايت فقط من البيانات وأجبر المهاجم على إدخال 10 بايت، فإن البايتتين الإضافيتين في النهاية سوف تتدفق إلى منطقة أخرى من الذاكرة.
اقرأ المزيد: "PSA: إذا كان جهاز الكمبيوتر الخاص بك يعمل بنظام التشغيل Linux، فيجب عليك تحديث Sudo الآن"
ويشير رودريغيز إلى أن هجمات تجاوز سعة المخزن المؤقت على قارئات NFC وأجهزة نقاط البيع ممكنة، حيث اشترى العديد منها من موقع eBay خلال العام الماضي. وأشار إلى أن العديد منهم عانوا من نفس الخلل الأمني: حيث لم يتحققوا من حجم البيانات المرسلة عبر NFC من بطاقة الائتمان. من خلال إنشاء تطبيق يرسل بيانات أكبر بمئات المرات مما يتوقعه القارئ، كان من الممكن تشغيل تجاوز سعة المخزن المؤقت.
متى سلكي تواصلت مع الشركات المتضررة للتعليق، ولم تستجب ID Tech وBBPOS وNexgo لطلبات التعليق. كما رفضت رابطة صناعة أجهزة الصراف الآلي التعليق. ردت شركة Ingenico في بيان لها بأن التخفيفات الأمنية تعني أن تجاوز سعة المخزن المؤقت لـ Rodriguez يمكن أن يؤدي فقط إلى تعطل الأجهزة، وليس الحصول على تنفيذ تعليمات برمجية مخصصة. يشك رودريغيز في أنهم كانوا سيمنعون بالفعل تنفيذ التعليمات البرمجية، لكنهم لم ينشئوا دليلاً على المفهوم لتوضيحه. وقالت شركة Ingenico إنه "بالنظر إلى الإزعاج والتأثير على عملائنا"، فقد كانت تصدر إصلاحًا على أي حال.
وقالت شركة Verifone إنها عثرت على ثغرات نقطة البيع وأصلحتها في عام 2018 قبل الإبلاغ عنها، على الرغم من أن هذا يوضح فقط كيف لا يتم تحديث هذه الأجهزة مطلقًا. يقول رودريجيز إنه اختبر هجمات NFC الخاصة به على جهاز Verifone في أحد المطاعم العام الماضي، ووجد أنه لا يزال عرضة للخطر.
"كانت نقاط الضعف هذه موجودة في البرامج الثابتة لسنوات، ونحن نستخدم هذه الأجهزة يوميًا للتعامل مع بطاقاتنا الائتمانية وأموالنا." يقول رودريجيز. "إنهم بحاجة إلى تأمينهم." ويخطط رودريغيز لمشاركة التفاصيل الفنية حول نقاط الضعف هذه في ندوة عبر الإنترنت في الأسابيع المقبلة.