Az NFC-vel rendelkező okostelefonok lehetővé tették a kutatók számára, hogy feltörhessék az értékesítési pontokat és az ATM-eket, és némelyiken egyéni kódfuttatást kapjanak.
Annak ellenére, hogy ez az egyetlen módja annak, hogy útközben pénzt vegyen ki bankszámlájáról, az ATM-ek köztudottan számos biztonsági problémával küzdöttek az évek során. Még most sem akadályozza meg a hackert abban, hogy kártyaleválasztót helyezzen el egy ATM-en, mivel a legtöbb ember soha nem veszi észre, hogy ott van. Természetesen az évek során számos más támadás is történt, amelyek ennél összetettebbek is, de összességében mindig óvatosnak kell lenni az ATM használatakor. Most egy új módja van az ATM-ek feltörésének, és ehhez mindössze egy NFC-vel rendelkező okostelefonra van szükség.
Mint Vezetékes jelentések, Josep Rodriguez az IOActive, a washingtoni Seattle-i székhelyű biztonsági cég kutatója és tanácsadója, és az elmúlt évet azzal töltötte, hogy sebezhető pontokat talált az ATM-ekben és az értékesítési pont-rendszerekben használt NFC-olvasókban. A világ számos ATM-je lehetővé teszi, hogy a bank- vagy hitelkártya megérintésével adja meg PIN-kódját, és vegyen fel készpénzt, ahelyett, hogy magába az ATM-be kellene behelyeznie. Noha kényelmesebb, megkerüli azt a problémát is, hogy a kártyaolvasó felett fizikai kártyafeldolgozó található. Ezen a ponton az értékesítési pontokon történő érintés nélküli fizetés is mindenütt jelen van.
NFC olvasók feltörése
Rodriquez épített egy Android-alkalmazást, amely lehetővé teszi telefonjának, hogy utánozza a hitelkártya-kommunikációt, és kihasználja az NFC-rendszerek firmware-jének hibáit. A telefonját az NFC-olvasó fölött integetve több kihasználást láncolhat össze, hogy összeomljon az értékesítési pontokon, és feltörje azokat. kártyaadatok gyűjtésére és továbbítására, a tranzakciók értékének megváltoztatására, sőt, ransomware üzenettel zárolják az eszközöket.
Továbbá Rodriguez azt mondja, hogy legalább egy meg nem nevezett ATM márkát kényszeríthet készpénz kiadására, bár ez csak az ATM szoftverében talált hibákkal együtt működik. Ezt nevezik "főnyeremény", amelyre a bűnözők az évek során számos módon próbáltak hozzáférni egy ATM-hez, hogy készpénzt lopjanak. Az ATM-eladókkal kötött titoktartási megállapodások miatt nem volt hajlandó megadni a márkát vagy a módszereket.
"Módosíthatja a firmware-t, és módosíthatja az árat például egy dollárra, még akkor is, ha a képernyő azt mutatja, hogy 50 dollárt fizet. Az eszközt használhatatlanná teheti, vagy telepíthet egyfajta ransomware-t. Rengeteg lehetőség van itt" mondja Rodriguez az általa felfedezett értékesítési pontok támadásairól. "Ha leláncolja a támadást, és egy speciális rakományt is küld egy ATM számítógépére, akkor a telefon megérintésével nyerheti meg az ATM-et – például készpénzt."
Forrás: Josep Rodriguez
Az érintett beszállítók közé tartozik az ID Tech, az Ingenico, a Verifone, a Crane Payment Innovations, a BBPOS, a Nexgo és egy meg nem nevezett ATM-szállító, és mindegyiküket 7 hónap és egy év között értesítették. A legtöbb értékesítési pont-rendszer azonban nem vagy ritkán kap szoftverfrissítéseket, és valószínűleg sokuknál fizikai hozzáférésre van szükség. Ezért valószínű, hogy sok közülük továbbra is sebezhető. "Olyan sok százezer ATM-nek a fizikai foltozása, ez sok időt igényelne." – mondja Rodriguez.
A sebezhetőségek demonstrálására Rodriguez megosztott egy videót Vezetékes egy madridi ATM NFC-olvasója fölött okostelefonnal hadonászott, amitől a gép hibaüzenetet jelenít meg. A főnyeremény-támadást nem mutatta be, mivel legálisan csak az IOActive biztonsági tanácsadása során beszerzett gépeken tesztelhette, amivel megsértené a titoktartási megállapodásukat. – kérdezte Rodriguez Vezetékes hogy ne tegye közzé a videót, mert fél a jogi felelősségtől.
A megállapítások az "kiváló kutatás a beágyazott eszközökön futó szoftverek sebezhetőségére vonatkozóan" – mondja Karsten Nohl, az SRLabs biztonsági cég alapítója és firmware-hacker, aki áttekintette Rodriguez munkáját. Nohl azt is megemlítette, hogy van néhány hátránya a valós tolvajoknak, beleértve azt is, hogy a feltört NFC Az olvasó csak a mag stripe hitelkártyaadatokat engedi el a támadónak, a PIN-kódot vagy az EMV-től származó adatokat nem hasábburgonya. Az ATM jackpot támadáshoz az ATM firmware-jének sebezhetőségére is szükség van, ami nagy akadályt jelent.
Ennek ellenére a kód végrehajtásához való hozzáférés ezeken a gépeken önmagában is jelentős biztonsági hiba, és gyakran az első belépési pont minden rendszerben, még akkor is, ha ez nem több, mint felhasználói szintű hozzáférés. Ha túljut a külső biztonsági rétegen, gyakran előfordul, hogy a belső szoftverrendszerek közel sem olyan biztonságosak.
A Red Balloon vezérigazgatóját és vezető tudósát, Ang Cuit lenyűgözték az eredmények. "Szerintem nagyon valószínű, hogy ha már végrehajtotta a kódot ezeken az eszközökön, akkor képes lesz arra, hogy közvetlenül a fő vezérlőhöz, mert az tele van sebezhető pontokkal, amelyeket több mint egy éve nem javítottak ki. évtized," Cui azt mondja. "Onnan," hozzáteszi, "teljesen vezérelheti a kazetta-adagolót" amely készpénzt tart és ad ki a felhasználóknak.
Egyedi kód végrehajtása
Az egyéni kód futtatásának képessége bármely gépen komoly biztonsági rést jelent, és lehetővé teszi a támadó számára, hogy megvizsgálja a gép mögöttes rendszereit, hogy további sebezhetőségeket találjon. A Nintendo 3DS ékes példa erre: az ún Cubic Ninja köztudottan a 3DS kihasználásának és a homebrew végrehajtásának egyik legkorábbi módja volt. A "Ninjhax" névre keresztelt exploit puffer túlcsordulást okozott, ami egyéni kód végrehajtását váltotta ki. Míg magának a játéknak csak felhasználói szintű hozzáférése volt a rendszerhez, a Ninjhax további kihasználások alapja lett az egyedi firmware 3DS-en való futtatásához.
Egyszerűsítve: puffertúlcsordulás indul el, ha az elküldött adatok mennyisége meghaladja az adatok számára lefoglalt tárhelyet, ami azt jelenti, hogy a felesleges adatot a szomszédos memóriarégiókban tárolják. Ha egy szomszédos memóriarégió kódot tud végrehajtani, akkor a támadó ezzel visszaélve feltöltheti a puffert szemetes adatokat, majd fűzze hozzá a végrehajtható kódot a végéhez, ahol beolvassa a szomszédba memória. Nem minden puffertúlcsordulási támadás tud kódot végrehajtani, és sok egyszerűen összeomlik egy program, vagy váratlan viselkedést okoz. Például, ha egy mező csak 8 bájt adatot tud fogadni, és a támadó 10 bájtot kényszerít be, akkor a végén lévő további 2 bájt a memória egy másik régiójába csordulna.
Bővebben: "PSA: Ha a számítógépe Linuxot futtat, frissítse most a Sudo-t"
Rodriguez megjegyzi, hogy lehetségesek puffertúlcsordulási támadások az NFC-olvasók és az értékesítési pontok ellen, mivel ezek közül sokat vásárolt az eBay-ről az elmúlt évben. Felhívta a figyelmet arra, hogy többen ugyanazt a biztonsági hibát szenvedték el: nem hitelesítették a bankkártyáról NFC-n keresztül küldött adatok méretét. Az olvasó által vártnál több százszor nagyobb adatokat küldött alkalmazás elkészítésével puffertúlcsordulást lehetett kiváltani.
Amikor Vezetékes megkereste az érintett vállalatokat megjegyzésért, az ID Tech, a BBPOS és a Nexgo nem válaszolt a megjegyzéskérésekre. Az ATM-ipari Szövetség sem volt hajlandó kommentálni. Az Ingenico közleményben válaszolt, hogy a biztonsági intézkedések azt jelentik, hogy Rodriguez puffertúlcsordulása csak az eszközöket tudta összeomlani, nem pedig egyéni kódvégrehajtást. Rodriguez kételkedik abban, hogy valóban megakadályozták volna a kódfuttatást, de nem hozott létre bizonyítékot a koncepció bemutatására. Az Ingenico azt mondta, hogy "figyelembe véve a kényelmetlenséget és az ügyfeleinket érő hatást", mindenesetre kiad egy javítást.
A Verifone azt mondta, hogy 2018-ban megtalálta és kijavította az értékesítési pontok sebezhetőségét, mielőtt jelentették volna, bár ez csak azt mutatja, hogy ezek az eszközök soha nem frissülnek. Rodriguez elmondása szerint tavaly tesztelte NFC-támadásait egy Verifone-eszközön egy étteremben, és megállapította, hogy az továbbra is sebezhető maradt.
"Ezek a sérülékenységek évek óta jelen vannak a firmware-ben, és naponta használjuk ezeket az eszközöket hitelkártyáink és pénzünk kezelésére." – mondja Rodriguez. – Biztosítani kell őket. Rodriguez azt tervezi, hogy az elkövetkező hetekben egy webinárium keretében megosztja a biztonsági rések technikai részleteit.