Smartphones med NFC aktiveret gjorde det muligt for forskere at hacke salgssystemer og pengeautomater, hvilket fik tilpasset kodeudførelse på nogle af dem.
På trods af at det er en af de eneste måder at få penge ud af din bankkonto på farten, har pengeautomater notorisk haft en række sikkerhedsproblemer gennem årene. Selv nu er der ikke meget, der forhindrer en hacker i at placere en kortskimmer på en hæveautomat, da de fleste aldrig vil bemærke, at den er der. Der har selvfølgelig også været en del andre angreb gennem årene, som er mere komplekse end som så, men i det store og hele skal man altid være forsigtig, når man bruger en hæveautomat. Nu er der en ny måde at hacke en pengeautomat på, og alt det kræver er en smartphone med NFC.
Som Kablet rapporter, Josep Rodriguez er forsker og konsulent hos IOActive, et sikkerhedsfirma med base i Seattle, Washington, og han har brugt det sidste år på at finde sårbarheder i NFC-læsere, der bruges i pengeautomater og salgssteder. Mange pengeautomater rundt om i verden giver dig mulighed for at trykke på dit debet- eller kreditkort for derefter at indtaste din pinkode og hæve kontanter, i stedet for at kræve, at du indsætter det i selve hæveautomaten. Selvom det er mere praktisk, kommer det også uden om problemet med en fysisk kortskimmer, der er til stede over kortlæseren. Kontaktløse betalinger på salgssteder er også allestedsnærværende på dette tidspunkt.
Hacking af NFC-læsere
Rodriquez har bygget en Android-app, der giver hans telefon magten til at efterligne kreditkortkommunikation og udnytte fejl i NFC-systemernes firmware. Han vifter med sin telefon over NFC-læseren og kan kæde flere udnyttelser sammen til at crashe salgsenheder, hacke dem at indsamle og overføre kortdata, ændre værdien af transaktioner og endda låse enhederne med en ransomware-meddelelse.
Desuden siger Rodriguez, at han endda kan tvinge mindst ét unavngivet mærke af pengeautomater til at uddele kontanter, selvom det kun virker i kombination med fejl, han fandt i pengeautomatens software. Dette kaldes "jackpotting", som der er mange måder, kriminelle gennem årene har forsøgt at få adgang til en pengeautomat for at stjæle kontanter på. Han afviste at specificere mærket eller metoderne på grund af fortrolighedsaftaler med ATM-leverandørerne.
"Du kan ændre firmwaren og ændre prisen til f.eks. én dollar, selv når skærmen viser, at du betaler 50 dollars. Du kan gøre enheden ubrugelig eller installere en slags ransomware. Der er mange muligheder her," siger Rodriguez om angrebene på salgsstedet, han opdagede. "Hvis du kæder angrebet sammen og sender en særlig nyttelast til en pengeautomats computer, kan du vinde en jackpot i pengeautomaten - som udbetalinger, bare ved at trykke på din telefon."
Kilde: Josep Rodriguez
Berørte leverandører omfatter ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo og en unavngiven pengeautomatleverandør, og alle blev advaret for mellem 7 måneder og et år siden. De fleste salgssteder modtager dog ikke softwareopdateringer eller gør det sjældent, og det er sandsynligt, at mange af dem kræver fysisk adgang for at gøre det. Derfor er det sandsynligt, at mange af dem forbliver sårbare. "At lappe så mange hundredetusinder af pengeautomater fysisk, det er noget, der ville kræve meget tid," siger Rodriguez.
For at demonstrere sårbarhederne delte Rodriguez en video med Kablet viser ham vifte med en smartphone over NFC-læseren i en pengeautomat i Madrid, hvilket får maskinen til at vise en fejlmeddelelse. Han viste ikke jackpot-angrebet, da han kun lovligt kunne teste det på maskiner opnået som en del af IOActives sikkerhedsrådgivning, som derefter ville overtræde deres hemmeligholdelsesaftale. spurgte Rodriguez Kablet ikke at offentliggøre videoen af frygt for juridisk ansvar.
Resultaterne er "fremragende forskning i sårbarheden af software, der kører på indlejrede enheder," siger Karsten Nohl, grundlæggeren af sikkerhedsfirmaet SRLabs og firmware-hacker, som gennemgik Rodriguez' arbejde. Nohl nævnte også, at der er et par ulemper for tyve i den virkelige verden, herunder at en hacket NFC læser ville kun tillade en angriber at stjæle mag stripe kreditkortdata, ikke pinkoden eller data fra EMV chips. ATM jackpot-angrebet kræver også en sårbarhed i ATM-firmwaren, hvilket er en stor barriere.
Alligevel er det en stor sikkerhedsbrist i sig selv at få adgang til at udføre kode på disse maskiner, og det er ofte det første indgangspunkt i ethvert system, selvom det ikke er mere end adgang på brugerniveau. Når du først kommer forbi det ydre lag af sikkerhed, er det ofte sådan, at de interne softwaresystemer ikke er nær så sikre.
Red Balloon CEO og chefforsker Ang Cui var imponeret over resultaterne. "Jeg tror, det er meget plausibelt, at når du har kodeeksekvering på nogen af disse enheder, burde du være i stand til at lige til hovedcontrolleren, fordi den ting er fuld af sårbarheder, der ikke er blevet rettet i over en årti," siger Cui. "Derfra," tilføjer han, "du kan absolut styre kassettedispenseren" der holder og frigiver kontanter til brugerne.
Udførelse af tilpasset kode
Evnen til at udføre tilpasset kode på enhver maskine er en stor sårbarhed og giver en angriber mulighed for at undersøge underliggende systemer i en maskine for at finde flere sårbarheder. Nintendo 3DS er et godt eksempel på dette: et spil kaldet Cubic Ninja var berømt en af de tidligste måder at udnytte 3DS og udføre homebrew. Udnyttelsen, kaldet "Ninjhax", forårsagede et bufferoverløb, som udløste eksekveringen af brugerdefineret kode. Mens spillet i sig selv kun havde adgang til systemet på brugerniveau, blev Ninjhax basen for yderligere udnyttelser til at køre tilpasset firmware på 3DS.
For at forenkle: et bufferoverløb udløses, når mængden af sendte data overstiger den tildelte lagerplads for disse data, hvilket betyder, at de overskydende data derefter lagres i tilstødende hukommelsesområder. Hvis en tilstødende hukommelsesregion kan udføre kode, så kan en angriber misbruge denne til at fylde bufferen med skralddata, og tilføj derefter eksekverbar kode til slutningen af det, hvor det vil blive læst ind i tilstødende hukommelse. Ikke alle bufferoverløbsangreb kan udføre kode, og mange vil simpelthen bare nedbryde et program eller forårsage uventet adfærd. For eksempel, hvis et felt kun kan tage 8 bytes data, og en angriber tvinger input på 10 bytes, så vil de yderligere 2 bytes i slutningen flyde over i et andet område af hukommelsen.
Læs mere: "PSA: Hvis din pc kører Linux, bør du opdatere Sudo nu"
Rodriguez bemærker, at bufferoverløbsangreb på NFC-læsere og salgssteder er mulige, da han købte mange af disse fra eBay i løbet af det sidste år. Han påpegede, at mange af dem led af den samme sikkerhedsbrist: de validerede ikke størrelsen af de data, der blev sendt via NFC fra et kreditkort. Ved at lave en app, der sendte data hundredvis af gange større, end læseren forventer, var det muligt at udløse et bufferoverløb.
Hvornår Kablet nåede ud til de berørte virksomheder for kommentarer, ID Tech, BBPOS og Nexgo reagerede ikke på anmodninger om kommentarer. ATM Industry Association afviste også at kommentere. Ingenico svarede i en erklæring, at sikkerhedsreduktioner betød, at Rodriguez' bufferoverløb kun kunne crashe enheder, ikke få tilpasset kodeudførelse. Rodriguez er i tvivl om, at de faktisk ville have forhindret kodeudførelse, men har ikke skabt et proof of concept til at demonstrere. Ingenico sagde, at "i betragtning af ulejligheden og indvirkningen for vores kunder", var det alligevel en løsning.
Verifone sagde, at det havde fundet og rettet point-of-sale-sårbarhederne i 2018, før de blev rapporteret, selvom dette kun viser, hvordan disse enheder aldrig bliver opdateret. Rodriguez siger, at han testede sine NFC-angreb på en Verifone-enhed på en restaurant sidste år og fandt ud af, at den stadig forblev sårbar.
"Disse sårbarheder har været til stede i firmware i årevis, og vi bruger disse enheder dagligt til at håndtere vores kreditkort, vores penge," siger Rodriguez. "De skal sikres." Rodriguez planlægger at dele tekniske detaljer om disse sårbarheder i et webinar i de kommende uger.