סמארטפונים עם NFC אפשרו לחוקרים לפרוץ מערכות נקודות מכירה וכספומטים, ולהשיג ביצוע קוד מותאם אישית בחלקם.
למרות היותה אחת הדרכים היחידות להוציא כסף מחשבון הבנק שלך תוך כדי תנועה, לכספומטים היו כידוע שורה של בעיות אבטחה לאורך השנים. אפילו עכשיו, אין הרבה מונע מהאקר להניח רחפן כרטיסים בכספומט, מכיוון שרוב האנשים לעולם לא ישימו לב שהוא שם. היו, כמובן, גם מספר התקפות אחרות במהלך השנים שהן מורכבות יותר מזה, אבל בגדול, תמיד צריך להיזהר בשימוש בכספומט. עכשיו יש דרך חדשה לפרוץ לכספומט, וכל מה שצריך זה סמארטפון עם NFC.
כפי ש חוטי דיווחים, ג'וזף רודריגז הוא חוקר ויועץ ב-IOActive, חברת אבטחה שבסיסה בסיאטל, וושינגטון, והוא בילה את השנה האחרונה באיתור נקודות תורפה בקוראי NFC המשמשים בכספומטים ובמערכות נקודות מכירה. כספומטים רבים ברחבי העולם מאפשרים לך להקיש על כרטיס החיוב או האשראי שלך כדי להזין את ה-PIN שלך ולמשוך מזומן, במקום לדרוש ממך להכניס אותו לכספומט עצמו. למרות שזה יותר נוח, זה גם עוקף את הבעיה של רחפן כרטיסים פיזי שנמצא מעל קורא הכרטיסים. תשלומים ללא מגע במערכות נקודת מכירה נמצאים גם הם בכל מקום בשלב זה.
פריצת קוראי NFC
רודריז בנה אפליקציית אנדרואיד שנותנת לטלפון שלו את הכוח לחקות תקשורת בכרטיסי אשראי ולנצל פגמים בקושחה של מערכות ה-NFC. מניף את הטלפון שלו מעל קורא ה-NFC, הוא יכול לשרשר יחד מספר ניצולים כדי לקרוס מכשירי נקודת מכירה, לפרוץ אותם לאסוף ולשדר נתוני כרטיס, לשנות את ערך העסקאות, ואפילו לנעול את המכשירים עם הודעת כופר.
יתר על כן, רודריגז אומר שהוא אפילו יכול להכריח לפחות מותג אחד של כספומט ללא שם להוציא מזומנים, אם כי זה עובד רק בשילוב עם באגים שמצא בתוכנת הכספומט. זה נקרא "חלוקת זכיות", עבורן ישנן דרכים רבות שניסו פושעים במהלך השנים להשיג גישה לכספומט כדי לגנוב מזומנים. הוא סירב לפרט את המותג או השיטות עקב הסכמי סודיות עם ספקי הכספומטים.
"אתה יכול לשנות את הקושחה ולשנות את המחיר לדולר אחד, למשל, גם כשהמסך מראה שאתה משלם 50 דולר. אתה יכול להפוך את המכשיר לחסר תועלת, או להתקין סוג של תוכנת כופר. יש כאן הרבה אפשרויות", אומר רודריגז על התקפות נקודות המכירה שגילה. "אם תשרשר את ההתקפה וגם תשלח מטען מיוחד למחשב של כספומט, אתה יכול להרוויח את הכספומט - כמו כסף מזומן, רק על ידי הקשה על הטלפון שלך".
מקור: ג'וזפ רודריגז
הספקים המושפעים כוללים את ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo וספק כספומט ללא שם, וכולם קיבלו התראה בין 7 חודשים לשנה. עם זאת, רוב המערכות של נקודות המכירה אינן מקבלות עדכוני תוכנה או ממעטות בכך, וסביר להניח שרבות מהן דורשות גישה פיזית לשם כך. לכן, סביר להניח שרבים מהם נשארים פגיעים. "תיקון כל כך הרבה מאות אלפי כספומטים פיזית, זה משהו שידרוש הרבה זמן." אומר רודריגז.
כדי להדגים את נקודות התורפה, רודריגז שיתף איתו סרטון חוטי מראה אותו מניף סמארטפון מעל קורא ה-NFC של כספומט במדריד, מה שגורם למכשיר להציג הודעת שגיאה. הוא לא הראה את מתקפת הזכיות, מכיוון שהוא יכול היה לבדוק אותה באופן חוקי רק במכונות שהושגו כחלק מייעוץ האבטחה של IOActive, אשר לאחר מכן יפרו את הסכם הסודיות שלהם. שאל רודריגז חוטי לא לפרסם את הסרטון מחשש לאחריות משפטית.
הממצאים הם "מחקר מעולה על הפגיעות של תוכנות הפועלות במכשירים משובצים," אומר קרסטן נוהל, מייסד חברת האבטחה SRLabs והאקר קושחה, שסקר את עבודתו של רודריגז. נוהל גם הזכיר שיש כמה חסרונות לגנבים בעולם האמיתי, כולל NFC פרוץ הקורא יאפשר רק לתוקף לגנוב נתוני כרטיס אשראי של mag stripe, לא את ה-PIN או הנתונים מ-EMV צ'יפס. מתקפת הקופה הכספומט דורשת גם פגיעות בקושחת הכספומט, שהיא מחסום גדול.
ובכל זאת, השגת גישה לביצוע קוד במכונות אלו היא פגם אבטחה גדול בפני עצמו, ולעתים קרובות היא נקודת הכניסה הראשונה בכל מערכת, גם אם היא לא יותר מגישה ברמת המשתמש. ברגע שאתה עובר את שכבת האבטחה החיצונית, לעתים קרובות זה המקרה שמערכות התוכנה הפנימיות אינן כמעט מאובטחות.
מנכ"ל בלון אדום והמדען הראשי אנג צ'וי, התרשם מהממצאים. "אני חושב שזה מאוד סביר שברגע שיש לך ביצוע קוד על כל אחד מהמכשירים האלה, אתה אמור להיות מסוגל לקבל ישירות לבקר הראשי, כי הדבר הזה מלא בפרצות שלא תוקנו במשך יותר מ-1 עָשׂוֹר," אומר קוי. "משם," הוא מוסיף, "אתה יכול לשלוט לחלוטין במתקן הקסטות" שמחזיק ומשחרר מזומנים למשתמשים.
ביצוע קוד מותאם אישית
היכולת להפעיל קוד מותאם אישית בכל מכונה היא פגיעות עיקרית ומעניקה לתוקף את היכולת לחקור את המערכות הבסיסיות במחשב כדי למצוא פגיעויות נוספות. ה-Nintendo 3DS הוא דוגמה מצוינת לכך: משחק בשם נינג'ה מעוקב הייתה מפורסמת אחת הדרכים המוקדמות ביותר לנצל את ה-3DS ולהוציא לפועל ביתי. הניצול, שזכה לכינוי "Ninjhax", גרם לגלישה במאגר שהפעילה ביצוע של קוד מותאם אישית. בעוד שלמשחק עצמו הייתה רק גישה ברמת המשתמש למערכת, Ninjhax הפך לבסיס של ניצולים נוספים להפעלת קושחה מותאמת אישית ב-3DS.
לפשטות: הצפת מאגר מופעלת כאשר נפח הנתונים שנשלח חורג מהאחסון שהוקצה עבור אותם נתונים, כלומר הנתונים העודפים מאוחסנים אז באזורי זיכרון סמוכים. אם אזור זיכרון סמוך יכול להפעיל קוד, אז תוקף יכול לנצל זאת לרעה כדי למלא בו את המאגר נתונים זבל, ולאחר מכן הוסף קוד הפעלה לקצהו, שם הוא ייקרא לתוך הסמוך זיכרון. לא כל התקפות הצפת חוצץ יכולות להפעיל קוד, ורבים פשוט יקרסו תוכנית או יגרמו להתנהגות בלתי צפויה. לדוגמה, אם שדה יכול לקחת רק 8 בתים של נתונים ותוקף כפוי קלט של 10 בתים, אז 2 הבתים הנוספים בסוף יגלשו לאזור אחר בזיכרון.
קרא עוד: "PSA: אם המחשב שלך מריץ לינוקס, עליך לעדכן את Sudo עכשיו"
רודריגז מציין שהתקפות הצפת חיץ על קוראי NFC ומכשירי נקודות מכירה אפשריות, מכיוון שהוא קנה רבים מאלה מ-eBay במהלך השנה האחרונה. הוא ציין שרבים מהם סבלו מאותו ליקוי אבטחה: הם לא אימתו את גודל הנתונים שנשלחו באמצעות NFC מכרטיס אשראי. הפיכת אפליקציה ששלחה נתונים גדולה פי מאות ממה שהקורא מצפה, אפשר היה להפעיל הצפת מאגר.
מתי חוטי פנו לחברות המושפעות להערה, ID Tech, BBPOS ו-Nexgo לא הגיבו לבקשות להגיב. גם איגוד תעשיית הכספומטים סירב להגיב. Ingenico הגיבה בהצהרה שמשמעות הפחתת האבטחה היא שצפת המאגר של רודריגז יכולה רק לקרוס מכשירים, לא להשיג ביצוע קוד מותאם אישית. רודריגז ספק אם הם באמת היו מונעים ביצוע קוד, אבל לא יצר הוכחה לקונספט להדגים. Ingenico אמרה כי "בהתחשב באי הנוחות וההשפעה על הלקוחות שלנו", היא מנפיקה תיקון בכל מקרה.
Verifone אמרה שהיא מצאה ותיקנה את הפגיעויות בנקודות המכירה ב-2018 לפני שהן דווחו, אם כי זה רק מראה כיצד המכשירים הללו לעולם לא מתעדכנים. רודריגז אומר שהוא בדק את התקפות ה-NFC שלו על מכשיר Verifone במסעדה בשנה שעברה, ומצא שהוא עדיין נשאר פגיע.
"החולשות האלה קיימות בקושחה במשך שנים, ואנחנו משתמשים במכשירים האלה מדי יום כדי לטפל בכרטיסי האשראי שלנו, בכסף שלנו." אומר רודריגז. "צריך לאבטח אותם". רודריגז מתכננת לשתף פרטים טכניים של נקודות תורפה אלו בסמינר מקוון בשבועות הקרובים.