एनएफसी सक्षम स्मार्टफ़ोन ने शोधकर्ताओं को पॉइंट ऑफ़ सेल सिस्टम और एटीएम को हैक करने की अनुमति दी, जिससे उनमें से कुछ पर कस्टम कोड निष्पादन प्राप्त हुआ।
अपने बैंक खाते से चलते-फिरते पैसे निकालने के एकमात्र तरीकों में से एक होने के बावजूद, एटीएम में पिछले कुछ वर्षों में सुरक्षा संबंधी कई समस्याएं रही हैं। अब भी, किसी हैकर को एटीएम पर कार्ड स्कीमर लगाने से कोई नहीं रोक सकता, क्योंकि ज्यादातर लोगों को कभी पता ही नहीं चलेगा कि यह वहां है। बेशक, पिछले कुछ वर्षों में कई अन्य हमले भी हुए हैं जो उससे कहीं अधिक जटिल हैं, लेकिन कुल मिलाकर, आपको एटीएम का उपयोग करते समय हमेशा सावधान रहना चाहिए। अब एटीएम को हैक करने का एक नया तरीका आ गया है और इसके लिए बस एनएफसी वाला स्मार्टफोन चाहिए।
जैसा वायर्ड रिपोर्ट, जोसेप रोड्रिग्ज सिएटल, वाशिंगटन में स्थित एक सुरक्षा फर्म IOActive में एक शोधकर्ता और सलाहकार हैं, और उन्होंने पिछले साल एटीएम और पॉइंट-ऑफ-सेल सिस्टम में उपयोग किए जाने वाले एनएफसी रीडर में कमजोरियों को खोजने में बिताया है। दुनिया भर में कई एटीएम आपको अपना पिन दर्ज करने और नकदी निकालने के लिए अपने डेबिट या क्रेडिट कार्ड को टैप करने की अनुमति देते हैं, न कि आपको इसे एटीएम में डालने की आवश्यकता होती है। हालाँकि यह अधिक सुविधाजनक है, यह कार्ड रीडर के ऊपर एक भौतिक कार्ड स्किमर मौजूद होने की समस्या से भी निजात दिलाता है। इस समय पॉइंट ऑफ़ सेल्स सिस्टम पर संपर्क रहित भुगतान भी सर्वव्यापी है।
एनएफसी रीडर्स को हैक करना
रॉड्रिक्वेज़ ने एक एंड्रॉइड ऐप बनाया है जो उनके फोन को क्रेडिट कार्ड संचार की नकल करने और एनएफसी सिस्टम के फर्मवेयर में खामियों का फायदा उठाने की शक्ति देता है। एनएफसी रीडर पर अपना फोन लहराते हुए, वह पॉइंट-ऑफ-सेल्स डिवाइस को क्रैश करने, उन्हें हैक करने के लिए कई कारनामों को एक साथ जोड़ सकता है कार्ड डेटा एकत्र करने और संचारित करने, लेनदेन के मूल्य को बदलने और यहां तक कि रैंसमवेयर संदेश के साथ डिवाइस को लॉक करने के लिए।
इसके अलावा, रोड्रिग्ज का कहना है कि वह एटीएम के कम से कम एक अनाम ब्रांड को भी नकदी निकालने के लिए मजबूर कर सकता है, हालांकि यह केवल एटीएम के सॉफ्टवेयर में पाए गए बग के संयोजन में काम करता है। यह कहा जाता है "जैकपॉटिंग", जिसके लिए नकदी चुराने के लिए अपराधियों ने एटीएम तक पहुंच पाने के लिए पिछले कुछ वर्षों में कई तरीके आजमाए हैं। उन्होंने एटीएम विक्रेताओं के साथ गैर-प्रकटीकरण समझौतों के कारण ब्रांड या तरीकों को निर्दिष्ट करने से इनकार कर दिया।
"आप फ़र्मवेयर को संशोधित कर सकते हैं और कीमत को एक डॉलर में बदल सकते हैं, उदाहरण के लिए, तब भी जब स्क्रीन दिखाती है कि आप 50 डॉलर का भुगतान कर रहे हैं। आप डिवाइस को बेकार कर सकते हैं, या एक प्रकार का रैंसमवेयर इंस्टॉल कर सकते हैं। यहां बहुत सारी संभावनाएं हैं," रोड्रिग्ज ने अपने द्वारा खोजे गए पॉइंट-ऑफ-सेल हमलों के बारे में कहा। "यदि आप हमले की श्रृंखला बनाते हैं और एटीएम के कंप्यूटर पर एक विशेष पेलोड भी भेजते हैं, तो आप एटीएम को जैकपॉट कर सकते हैं - कैश आउट की तरह, बस अपने फोन को टैप करके।"
स्रोत: जोसेप रोड्रिग्ज
प्रभावित विक्रेताओं में आईडी टेक, इंजेनिको, वेरिफ़ोन, क्रेन पेमेंट इनोवेशन, बीबीपीओएस, नेक्सगो और एक अनाम एटीएम विक्रेता शामिल हैं, और इन सभी को 7 महीने से एक साल पहले के बीच सतर्क किया गया था। हालाँकि, अधिकांश पॉइंट-ऑफ-सेल सिस्टम को सॉफ़्टवेयर अपडेट प्राप्त नहीं होते हैं या शायद ही कभी मिलते हैं, और यह संभव है कि उनमें से कई को ऐसा करने के लिए भौतिक पहुंच की आवश्यकता होती है। इसलिए, यह संभावना है कि उनमें से कई असुरक्षित बने रहेंगे। "इतने सारे हजारों एटीएम को भौतिक रूप से पैच करना, ऐसा कुछ है जिसके लिए बहुत समय की आवश्यकता होगी," रोड्रिग्ज कहते हैं।
कमजोरियों को प्रदर्शित करने के लिए रोड्रिग्ज ने एक वीडियो साझा किया वायर्ड मैड्रिड में एक एटीएम के एनएफसी रीडर पर उसे एक स्मार्टफोन लहराते हुए दिखाया गया, जिससे मशीन में एक त्रुटि संदेश प्रदर्शित हुआ। उन्होंने जैकपॉटिंग हमला नहीं दिखाया, क्योंकि वे इसे कानूनी तौर पर केवल IOActive के सुरक्षा परामर्श के हिस्से के रूप में प्राप्त मशीनों पर परीक्षण कर सकते थे, जो तब उनके गैर-प्रकटीकरण समझौते का उल्लंघन होगा। रोड्रिग्ज ने पूछा वायर्ड कानूनी दायित्व के डर से वीडियो प्रकाशित न करें।
निष्कर्ष हैं "एम्बेडेड उपकरणों पर चलने वाले सॉफ़्टवेयर की भेद्यता पर उत्कृष्ट शोध," सुरक्षा फर्म एसआरलैब्स के संस्थापक और फर्मवेयर-हैकर कार्स्टन नोहल कहते हैं, जिन्होंने रोड्रिगेज के काम की समीक्षा की। नोहल ने यह भी उल्लेख किया कि वास्तविक दुनिया के चोरों के लिए कुछ कमियां हैं, जिनमें हैक किया गया एनएफसी भी शामिल है रीडर किसी हमलावर को केवल मैग स्ट्राइप क्रेडिट कार्ड डेटा चुराने की अनुमति देगा, ईएमवी से पिन या डेटा नहीं चिप्स. एटीएम जैकपॉट हमले के लिए एटीएम फर्मवेयर में भेद्यता की भी आवश्यकता होती है, जो एक बड़ी बाधा है।
फिर भी, इन मशीनों पर कोड निष्पादित करने तक पहुंच प्राप्त करना अपने आप में एक बड़ी सुरक्षा खामी है, और अक्सर किसी भी सिस्टम में पहला प्रवेश-बिंदु होता है, भले ही यह उपयोगकर्ता-स्तर की पहुंच से अधिक कुछ न हो। एक बार जब आप सुरक्षा की बाहरी परत पार कर लेते हैं, तो अक्सर ऐसा होता है कि आंतरिक सॉफ़्टवेयर सिस्टम कहीं भी सुरक्षित नहीं होते हैं।
रेड बैलून के सीईओ और मुख्य वैज्ञानिक आंग कुई, निष्कर्षों से प्रभावित हुए। "मुझे लगता है कि यह बहुत प्रशंसनीय है कि एक बार जब आपके पास इनमें से किसी भी डिवाइस पर कोड निष्पादन हो, तो आपको प्राप्त करने में सक्षम होना चाहिए मुख्य नियंत्रक के दाईं ओर, क्योंकि वह चीज़ कमजोरियों से भरी हुई है जिन्हें लंबे समय से ठीक नहीं किया गया है दशक," कुई कहते हैं. "वहाँ से," उन्होंने आगे कहा, "आप कैसेट डिस्पेंसर को बिल्कुल नियंत्रित कर सकते हैं" जो उपयोगकर्ताओं के लिए नकदी रखता है और जारी करता है।
कस्टम कोड निष्पादन
किसी भी मशीन पर कस्टम कोड निष्पादित करने की क्षमता एक बड़ी भेद्यता है और एक हमलावर को अधिक कमजोरियों को खोजने के लिए मशीन में अंतर्निहित सिस्टम की जांच करने की क्षमता देती है। निंटेंडो 3DS इसका एक प्रमुख उदाहरण है: एक गेम जिसे कहा जाता है घन निंजा यह 3DS का उपयोग करने और होमब्रू निष्पादित करने के शुरुआती तरीकों में से एक था। "निन्झाक्स" नामक शोषण ने बफर ओवरफ्लो का कारण बना, जिससे कस्टम कोड का निष्पादन शुरू हो गया। जबकि गेम में केवल सिस्टम तक उपयोगकर्ता-स्तरीय पहुंच थी, निन्झाक्स 3DS पर कस्टम फर्मवेयर चलाने के लिए आगे के कारनामों का आधार बन गया।
सरल बनाने के लिए: एक बफर ओवरफ्लो तब ट्रिगर होता है जब भेजे गए डेटा की मात्रा उस डेटा के लिए आवंटित भंडारण से अधिक हो जाती है, जिसका अर्थ है कि अतिरिक्त डेटा तब आसन्न मेमोरी क्षेत्रों में संग्रहीत होता है। यदि कोई निकटवर्ती मेमोरी क्षेत्र कोड निष्पादित कर सकता है, तो एक हमलावर बफर को भरने के लिए इसका दुरुपयोग कर सकता है कचरा डेटा, और फिर उसके अंत में निष्पादन योग्य कोड जोड़ें, जहां इसे आसन्न में पढ़ा जाएगा याद। सभी बफ़र ओवरफ़्लो हमले कोड निष्पादित नहीं कर सकते हैं, और कई बस प्रोग्राम को क्रैश कर देंगे या अप्रत्याशित व्यवहार का कारण बनेंगे। उदाहरण के लिए, यदि कोई फ़ील्ड केवल 8 बाइट्स डेटा ले सकता है और एक हमलावर 10 बाइट्स का जबरन इनपुट ले सकता है, तो अंत में अतिरिक्त 2 बाइट्स मेमोरी के दूसरे क्षेत्र में ओवरफ्लो हो जाएंगे।
और पढ़ें: "पीएसए: यदि आपका पीसी लिनक्स चलाता है, तो आपको सूडो को अभी अपडेट करना चाहिए"
रोड्रिग्ज ने नोट किया कि एनएफसी रीडर और पॉइंट-ऑफ-सेल डिवाइस पर बफर ओवरफ्लो हमले संभव हैं, क्योंकि उन्होंने इनमें से कई को पिछले साल ईबे से खरीदा था। उन्होंने बताया कि उनमें से कई एक ही सुरक्षा दोष से पीड़ित थे: उन्होंने क्रेडिट कार्ड से एनएफसी के माध्यम से भेजे गए डेटा के आकार को मान्य नहीं किया था। एक ऐसा ऐप बनाना जो पाठक की अपेक्षा से सैकड़ों गुना बड़ा डेटा भेजता है, बफर ओवरफ्लो को ट्रिगर करना संभव था।
कब वायर्ड टिप्पणी के लिए प्रभावित कंपनियों से संपर्क किया गया, आईडी टेक, बीबीपीओएस और नेक्सगो ने टिप्पणी के अनुरोधों का जवाब नहीं दिया। एटीएम इंडस्ट्री एसोसिएशन ने भी टिप्पणी करने से इनकार कर दिया। इंजेनिको ने एक बयान में जवाब दिया कि सुरक्षा कमियों का मतलब है कि रोड्रिग्ज का बफर ओवरफ़्लो केवल डिवाइस को क्रैश कर सकता है, कस्टम कोड निष्पादन प्राप्त नहीं कर सकता है। रोड्रिग्ज को संदेह है कि उन्होंने वास्तव में कोड निष्पादन को रोका होगा, लेकिन प्रदर्शित करने के लिए अवधारणा का कोई प्रमाण नहीं बनाया है। इंजेनिको ने कहा कि "हमारे ग्राहकों के लिए असुविधा और प्रभाव को ध्यान में रखते हुए", वह वैसे भी एक समाधान जारी कर रहा था।
वेरिफोन ने कहा कि उसने रिपोर्ट किए जाने से पहले 2018 में पॉइंट-ऑफ-सेल कमजोरियों को ढूंढ लिया था और उन्हें ठीक कर लिया था, हालांकि यह केवल दिखाता है कि कैसे इन उपकरणों को कभी भी अपडेट नहीं किया जाता है। रोड्रिग्ज का कहना है कि उन्होंने पिछले साल एक रेस्तरां में वेरिफ़ोन डिवाइस पर अपने एनएफसी हमलों का परीक्षण किया था, और पाया कि यह अभी भी असुरक्षित बना हुआ है।
"ये कमजोरियाँ फर्मवेयर में वर्षों से मौजूद हैं, और हम अपने क्रेडिट कार्ड, अपने पैसे को संभालने के लिए इन उपकरणों का दैनिक उपयोग कर रहे हैं।" रोड्रिग्ज कहते हैं। "उन्हें सुरक्षित करने की आवश्यकता है।" रोड्रिग्ज ने आने वाले हफ्तों में एक वेबिनार में इन कमजोरियों का तकनीकी विवरण साझा करने की योजना बनाई है।