Los teléfonos inteligentes con NFC habilitado permitieron a los investigadores piratear sistemas de puntos de venta y cajeros automáticos, obteniendo ejecución de código personalizado en algunos de ellos.
A pesar de ser una de las únicas formas de retirar dinero de su cuenta bancaria mientras viaja, los cajeros automáticos han tenido notoriamente una serie de problemas de seguridad a lo largo de los años. Incluso ahora, no hay mucho que impida que un hacker coloque un skimmer de tarjetas en un cajero automático, ya que la mayoría de las personas nunca notarán que está ahí. Por supuesto, a lo largo de los años también se han producido otros ataques que son más complejos que ese, pero en general, siempre se debe tener cuidado al utilizar un cajero automático. Ahora existe una nueva forma de hackear un cajero automático y todo lo que requiere es un teléfono inteligente con NFC.
Como cableado informes, Josep Rodríguez es investigador y consultor en IOActive, una empresa de seguridad con sede en Seattle, Washington, y ha pasado el último año buscando vulnerabilidades en lectores NFC utilizados en cajeros automáticos y sistemas de puntos de venta. Muchos cajeros automáticos en todo el mundo le permiten tocar su tarjeta de débito o crédito para luego ingresar su PIN y retirar efectivo, en lugar de tener que insertarlo en el cajero automático. Si bien es más conveniente, también soluciona el problema de que haya un skimmer de tarjetas físico sobre el lector de tarjetas. Los pagos sin contacto en los sistemas de punto de venta también son omnipresentes en este momento.
Hackear lectores NFC
Rodríguez ha creado una aplicación para Android que le da a su teléfono el poder de imitar las comunicaciones con tarjetas de crédito y explotar fallas en el firmware de los sistemas NFC. Al pasar su teléfono por el lector NFC, puede encadenar múltiples exploits para bloquear dispositivos de punto de venta y hackearlos. para recopilar y transmitir datos de tarjetas, cambiar el valor de las transacciones e incluso bloquear los dispositivos con un mensaje de ransomware.
Además, Rodríguez dice que incluso puede obligar al menos a una marca anónima de cajero automático a dispensar efectivo, aunque solo funciona en combinación con errores que encontró en el software del cajero automático. Se llama "premio mayor", por lo que hay muchas formas en que los delincuentes han intentado a lo largo de los años obtener acceso a un cajero automático para robar efectivo. Se negó a especificar la marca o los métodos debido a acuerdos de confidencialidad con los proveedores de cajeros automáticos.
"Puedes modificar el firmware y cambiar el precio a un dólar, por ejemplo, incluso cuando la pantalla muestra que estás pagando 50 dólares. Puedes inutilizar el dispositivo o instalar algún tipo de ransomware. Aquí hay muchas posibilidades", dice Rodríguez sobre los ataques en los puntos de venta que descubrió. "Si encadenas el ataque y también envías una carga útil especial a la computadora de un cajero automático, puedes obtener un premio mayor del cajero automático, como retirar dinero en efectivo, simplemente tocando tu teléfono".
Fuente: Josep Rodríguez
Los proveedores afectados incluyen ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo y un proveedor de cajeros automáticos no identificado, y todos ellos fueron alertados hace entre 7 meses y un año. Sin embargo, la mayoría de los sistemas de punto de venta no reciben actualizaciones de software o lo hacen en raras ocasiones, y es probable que muchos de ellos requieran acceso físico para hacerlo. Por lo tanto, es probable que muchos de ellos sigan siendo vulnerables. "Parchear físicamente tantos cientos de miles de cajeros automáticos es algo que requeriría mucho tiempo". dice Rodríguez.
Para demostrar las vulnerabilidades, Rodríguez compartió un video con cableado Se le muestra agitando un smartphone sobre el lector NFC de un cajero automático en Madrid, lo que provoca que la máquina muestre un mensaje de error. No mostró el ataque de jackpotting, ya que sólo podía probarlo legalmente en máquinas obtenidas como parte de la consultoría de seguridad de IOActive, lo que luego violaría su acuerdo de confidencialidad. preguntó Rodríguez cableado no publicar el vídeo por temor a responsabilidad legal.
Los hallazgos son "excelente investigación sobre la vulnerabilidad del software que se ejecuta en dispositivos integrados", dice Karsten Nohl, fundador de la firma de seguridad SRLabs y hacker de firmware, quien revisó el trabajo de Rodríguez. Nohl también mencionó que existen algunos inconvenientes para los ladrones del mundo real, incluido que un NFC pirateado El lector solo permitiría a un atacante robar datos de tarjetas de crédito con banda magnética, no el PIN ni los datos de EMV. papas fritas. El ataque al premio mayor del cajero automático también requiere una vulnerabilidad en el firmware del cajero automático, lo cual es una gran barrera.
Aún así, obtener acceso para ejecutar código en estas máquinas es en sí mismo una falla de seguridad importante y, a menudo, es el primer punto de entrada en cualquier sistema, incluso si no es más que un acceso a nivel de usuario. Una vez que se supera la capa externa de seguridad, a menudo ocurre que los sistemas de software internos no son tan seguros.
El director ejecutivo y científico jefe de Red Balloon, Ang Cui, quedó impresionado por los hallazgos. "Creo que es muy posible que una vez que tengas la ejecución del código en cualquiera de estos dispositivos, puedas obtener directamente al controlador principal, porque esa cosa está llena de vulnerabilidades que no se han solucionado durante más de un década," dice Cui. "Desde allí," él añade, "puedes controlar absolutamente el dispensador de casetes" que retiene y libera efectivo a los usuarios.
Ejecución de código personalizado
La capacidad de ejecutar código personalizado en cualquier máquina es una vulnerabilidad importante y le brinda al atacante la capacidad de sondear los sistemas subyacentes en una máquina para encontrar más vulnerabilidades. La Nintendo 3DS es un excelente ejemplo de esto: un juego llamado Ninja cúbico fue una de las primeras formas de explotar la 3DS y ejecutar homebrew. El exploit, denominado "Ninjhax", provocó un desbordamiento del búfer que desencadenó la ejecución de código personalizado. Si bien el juego en sí solo tenía acceso al sistema a nivel de usuario, Ninjhax se convirtió en la base de otros exploits para ejecutar firmware personalizado en la 3DS.
Para simplificar: se activa un desbordamiento del búfer cuando el volumen de datos enviados excede el almacenamiento asignado para esos datos, lo que significa que el exceso de datos se almacena en regiones de memoria adyacentes. Si una región de memoria adyacente puede ejecutar código, entonces un atacante puede abusar de esto para llenar el búfer con datos basura y luego agregue código ejecutable al final, donde se leerá en los archivos adyacentes. memoria. No todos los ataques de desbordamiento de búfer pueden ejecutar código y muchos simplemente bloquearán un programa o provocarán un comportamiento inesperado. Por ejemplo, si un campo solo puede tomar 8 bytes de datos y un atacante forzó la entrada de 10 bytes, entonces los 2 bytes adicionales al final se desbordarían a otra región de la memoria.
Leer más: "PSA: si su PC ejecuta Linux, debe actualizar Sudo ahora"
Rodríguez señala que los ataques de desbordamiento de búfer en lectores NFC y dispositivos de punto de venta son posibles, ya que compró muchos de ellos en eBay durante el último año. Señaló que muchos de ellos padecían el mismo fallo de seguridad: no validaban el tamaño de los datos enviados vía NFC desde una tarjeta de crédito. Al crear una aplicación que enviaba datos cientos de veces más grandes de lo que el lector esperaba, fue posible provocar un desbordamiento del búfer.
Cuando cableado contactó a las empresas afectadas para hacer comentarios, ID Tech, BBPOS y Nexgo no respondieron a las solicitudes de comentarios. La Asociación de la Industria de Cajeros Automáticos también declinó hacer comentarios. Ingenico respondió en un comunicado que las mitigaciones de seguridad significaban que el desbordamiento del búfer de Rodríguez solo podía bloquear los dispositivos, no obtener la ejecución de código personalizado. Rodríguez tiene dudas de que realmente hubieran impedido la ejecución del código, pero no ha creado una prueba de concepto para demostrarlo. Ingenico dijo que "teniendo en cuenta las molestias y el impacto para nuestros clientes", iba a emitir una solución de todos modos.
Verifone dijo que había encontrado y solucionado las vulnerabilidades de los puntos de venta en 2018 antes de que se informaran, aunque esto sólo muestra que estos dispositivos nunca se actualizan. Rodríguez dice que probó sus ataques NFC en un dispositivo Verifone en un restaurante el año pasado y descubrió que aún seguía siendo vulnerable.
"Estas vulnerabilidades han estado presentes en el firmware durante años y utilizamos estos dispositivos a diario para manejar nuestras tarjetas de crédito y nuestro dinero". dice Rodríguez. "Necesitan estar asegurados". Rodríguez planea compartir detalles técnicos de estas vulnerabilidades en un seminario web en las próximas semanas.