NFC-toiminnolla varustetut älypuhelimet antoivat tutkijoille mahdollisuuden hakkeroida myyntipistejärjestelmiä ja pankkiautomaatteja ja saada mukautettua koodin suorittamista joihinkin niistä.
Huolimatta siitä, että pankkiautomaatit ovat yksi ainoista tavoista saada rahaa ulos pankkitililtäsi liikkeellä ollessasi, pankkiautomaateilla on tunnetusti ollut lukuisia turvallisuusongelmia vuosien varrella. Vielä nytkään ei ole paljoakaan estettä hakkereita asettamasta korttien keräilijää pankkiautomaatille, koska useimmat ihmiset eivät koskaan huomaa sen olevan siellä. Tietysti vuosien varrella on ollut myös useita muitakin tätä monimutkaisempia hyökkäyksiä, mutta yleisesti ottaen pankkiautomaattia käytettäessä kannattaa aina olla varovainen. Nyt on uusi tapa hakkeroida pankkiautomaatti, ja siihen tarvitaan vain NFC-älypuhelin.
Kuten Langallinen raportit, Josep Rodriguez on tutkija ja konsultti IOActivessa, Seattlessa, Washingtonissa, ja hän on etsinyt viime vuoden haavoittuvuuksia pankkiautomaateissa ja myyntipistejärjestelmissä käytettävistä NFC-lukijista. Monet pankkiautomaatit ympäri maailmaa antavat sinun napauttaa pankki- tai luottokorttiasi syöttääksesi PIN-koodisi ja nostaaksesi käteistä sen sijaan, että sinun pitäisi asettaa se itse pankkiautomaattiin. Vaikka se on kätevämpää, se kiertää myös fyysisen kortinlukijan ongelman kortinlukijan päällä. Myös lähimaksut myyntipistejärjestelmissä ovat yleisiä tällä hetkellä.
NFC-lukijoiden hakkerointi
Rodriquez on rakentanut Android-sovelluksen, joka antaa hänen puhelimelleen vallan matkia luottokorttiviestintää ja hyödyntää NFC-järjestelmien laiteohjelmiston puutteita. Heiluttaen puhelintaan NFC-lukijan päällä, hän voi ketjuttaa yhteen useita hyökkäyksiä kaataakseen myyntipistelaitteita ja hakkeroidakseen niitä kerätä ja lähettää korttitietoja, muuttaa tapahtumien arvoa ja jopa lukita laitteet kiristysohjelmaviestillä.
Lisäksi Rodriguez sanoo, että hän voi jopa pakottaa ainakin yhden nimettömän pankkiautomaatin jakamaan käteistä, vaikka se toimii vain yhdessä pankkiautomaatin ohjelmistosta löytämiensä virheiden kanssa. Tätä kutsutaan "jättipotti", jota varten rikolliset ovat vuosien varrella yrittäneet päästä pankkiautomaattiin varastaakseen käteistä monin tavoin. Hän kieltäytyi täsmentämästä brändiä tai menetelmiä pankkiautomaattien myyjien kanssa tehtyjen salassapitosopimusten vuoksi.
"Voit muokata laiteohjelmistoa ja muuttaa hinnan esimerkiksi yhteen dollariin, vaikka näytössä näkyy, että maksat 50 dollaria. Voit tehdä laitteesta hyödyttömän tai asentaa eräänlaisen kiristysohjelman. Täällä on paljon mahdollisuuksia" kertoo Rodriguez löytämistään myyntipistehyökkäyksistä. "Jos ketjutat hyökkäyksen ja lähetät myös erityisen hyötykuorman pankkiautomaatin tietokoneelle, voit voittaa pankkiautomaatin - kuten kotiutuksen, vain napauttamalla puhelintasi."
Lähde: Josep Rodriguez
Toimittajia, joita tämä koskee, ovat ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo ja nimeämätön pankkiautomaattitoimittaja, ja heille kaikille ilmoitettiin 7 kuukauden ja vuoden välillä. Useimmat myyntipistejärjestelmät eivät kuitenkaan saa ohjelmistopäivityksiä tai saavat niitä harvoin, ja on todennäköistä, että monet niistä edellyttävät fyysistä pääsyä tehdäkseen niin. Siksi on todennäköistä, että monet heistä ovat edelleen haavoittuvia. "Niin monen satojen tuhansien pankkiautomaattien fyysinen paikkaus, se vaatisi paljon aikaa", Rodriguez sanoo.
Osoittaakseen haavoittuvuuksia Rodriguez jakoi videon Langallinen Hän näyttää hänen heiluttavan älypuhelinta Madridissa sijaitsevan pankkiautomaatin NFC-lukijan päällä, jolloin kone näyttää virheilmoituksen. Hän ei näyttänyt jättipottihyökkäystä, koska hän saattoi testata sitä laillisesti vain koneilla, jotka hankittiin osana IOActiven turvallisuuskonsultointia, mikä sitten rikkoisi heidän salassapitosopimustaan. Rodriguez kysyi Langallinen olla julkaisematta videota oikeudellisen vastuun pelossa.
Havainnot ovat "erinomainen tutkimus sulautetuissa laitteissa toimivien ohjelmistojen haavoittuvuudesta" sanoo Karsten Nohl, turvayrityksen SRLabsin perustaja ja laiteohjelmistohakkeri, joka arvioi Rodriguezin työtä. Nohl mainitsi myös, että tosimaailman varkailla on muutamia haittoja, mukaan lukien hakkeroitu NFC Lukija sallisi hyökkääjän varastaa vain mag stripe -luottokorttitietoja, ei PIN-koodia tai tietoja EMV: ltä sirut. Pankkiautomaatin jättipottihyökkäys vaatii myös pankkiautomaatin laiteohjelmiston haavoittuvuuden, joka on suuri este.
Silti pääsy koodin suorittamiseen näissä koneissa on itsessään suuri tietoturvavirhe, ja se on usein ensimmäinen sisääntulopiste missä tahansa järjestelmässä, vaikka se olisi vain käyttäjätason pääsy. Kun pääset ulkopuolisen suojauskerroksen ohi, usein käy niin, että sisäiset ohjelmistojärjestelmät eivät ole lähelläkään yhtä turvallisia.
Red Balloonin toimitusjohtaja ja johtava tutkija Ang Cui oli vaikuttunut löydöistä. "Mielestäni on erittäin todennäköistä, että kun olet suorittanut koodin jollakin näistä laitteista, sinun pitäisi pystyä suoraan pääohjaimeen, koska se on täynnä haavoittuvuuksia, joita ei ole korjattu yli vuoden vuosikymmen" Cui sanoo. "Sieltä," hän lisää, "Voit täysin ohjata kasetin jakelulaitetta" joka säilyttää ja vapauttaa käteistä käyttäjille.
Mukautetun koodin suoritus
Mahdollisuus suorittaa mukautettua koodia millä tahansa koneella on suuri haavoittuvuus ja antaa hyökkääjälle mahdollisuuden tutkia koneen taustalla olevia järjestelmiä löytääkseen lisää haavoittuvuuksia. Nintendo 3DS on tästä hyvä esimerkki: peli nimeltä Cubic Ninja oli tunnetusti yksi varhaisimmista tavoista hyödyntää 3DS: ää ja toteuttaa homebrew. "Ninjhax"-niminen hyväksikäyttö aiheutti puskurin ylivuodon, joka laukaisi mukautetun koodin suorittamisen. Vaikka itse pelissä oli vain käyttäjätason käyttöoikeus järjestelmään, Ninjhaxista tuli perusta lisähyödykkeille mukautetun laiteohjelmiston suorittamiseen 3DS: ssä.
Yksinkertaistaen: puskurin ylivuoto laukeaa, kun lähetetyn tiedon määrä ylittää tälle datalle varatun tallennustilan, mikä tarkoittaa, että ylimääräinen data tallennetaan viereisille muistialueille. Jos viereinen muistialue voi suorittaa koodia, hyökkääjä voi käyttää tätä väärin täyttääkseen puskurin roskatiedot ja liitä sitten suoritettava koodi sen loppuun, jossa se luetaan viereiseen muisti. Kaikki puskurin ylivuotohyökkäykset eivät pysty suorittamaan koodia, ja monet vain kaatavat ohjelman tai aiheuttavat odottamatonta toimintaa. Jos esimerkiksi kenttä voi ottaa vain 8 tavua tietoa ja hyökkääjä pakottaa syöttämään 10 tavua, lopussa olevat 2 tavua vuotaisivat yli toiselle muistialueelle.
Lue lisää: "PSA: Jos tietokoneessasi on Linux, sinun tulee päivittää Sudo nyt"
Rodriguez toteaa, että puskurin ylivuotohyökkäykset NFC-lukijoihin ja myyntipistelaitteisiin ovat mahdollisia, koska hän osti monia niistä eBaysta viime vuoden aikana. Hän huomautti, että monet heistä kärsivät samasta tietoturvavirheestä: he eivät vahvistaneet NFC: n kautta luottokortilta lähetettyjen tietojen kokoa. Tekemällä sovelluksesta, joka lähetti tietoja satoja kertoja suurempia kuin lukija odottaa, oli mahdollista laukaista puskurin ylivuoto.
Kun Langallinen otti yhteyttä asianomaisiin yrityksiin kommentteja varten, ID Tech, BBPOS ja Nexgo eivät vastanneet kommenttipyyntöihin. Myös ATM Industry Association kieltäytyi kommentoimasta. Ingenico vastasi lausunnossaan, että suojauskevennykset tarkoittivat, että Rodriguezin puskurin ylivuoto saattoi vain kaataa laitteita, ei saada mukautettua koodin suorittamista. Rodriguez epäilee, olisivatko he todella estäneet koodin suorittamisen, mutta ei ole luonut todistetta konseptista osoittaakseen. Ingenico sanoi, että "ottaen huomioon asiakkaillemme koituvan haitan ja vaikutuksen", se antoi joka tapauksessa korjauksen.
Verifone kertoi löytäneensä ja korjaaneensa myyntipisteen haavoittuvuudet vuonna 2018 ennen kuin niistä ilmoitettiin, vaikka tämä osoittaa vain, kuinka näitä laitteita ei koskaan päivitetä. Rodriguez kertoo, että hän testasi NFC-hyökkäyksiään Verifone-laitteeseen viime vuonna ravintolassa ja havaitsi, että se oli edelleen haavoittuvainen.
"Nämä haavoittuvuudet ovat olleet laiteohjelmistossa vuosia, ja käytämme näitä laitteita päivittäin luottokorttiemme ja rahojemme käsittelyyn." Rodriguez sanoo. "Ne on turvattava." Rodriguez aikoo jakaa teknisiä yksityiskohtia näistä haavoittuvuuksista webinaarissa tulevien viikkojen aikana.