NFC スマートフォンにより、研究者は POS システムや ATM をハッキングできるようになりました

NFC が有効になったスマートフォンにより、研究者は POS システムや ATM をハッキングし、それらの一部でカスタム コードを実行できるようになりました。

ATM は外出先で銀行口座からお金を引き出す唯一の方法であるにもかかわらず、長年にわたりセキュリティ上の問題が数多く発生していることで知られています。 ほとんどの人はカードスキマーがそこにあることに気づかないため、現在でもハッカーが ATM にカードスキマーを設置するのを阻止することはあまりできません。 もちろん、これよりも複雑な攻撃は長年にわたって他にも数多くありましたが、概して、ATM を使用するときは常に注意する必要があります。 ATM をハッキングする新しい方法が登場しました。それに必要なのは、NFC を搭載したスマートフォンだけです。

として 有線 レポート、 ジョセップ・ロドリゲス 彼は、ワシントン州シアトルに本拠を置くセキュリティ会社 IOActive の研究者兼コンサルタントであり、昨年は ATM や POS システムで使用される NFC リーダーの脆弱性を発見してきました。 世界中の多くの ATM では、ATM 自体にカードを挿入する必要がなく、デビット カードまたはクレジット カードをタップして PIN を入力して現金を引き出すことができます。 これは便利ですが、カード リーダーの上に物理的なカード スキマーが存在するという問題も回避できます。 現時点では、POS システムでの非接触型決済も普及しています。

ソース: グーグル

NFC リーダーのハッキング

ロドリゲス氏は、クレジット カード通信を模倣し、NFC システムのファームウェアの欠陥を悪用する機能を携帯電話に提供する Android アプリを構築しました。 NFC リーダーに携帯電話をかざすと、複数のエクスプロイトを連鎖させて POS デバイスをクラッシュさせたり、ハッキングしたりできます。 カードデータの収集と送信、取引額の変更、さらにはランサムウェア メッセージでデバイスをロックすることもできます。

さらに、ロドリゲス氏は、ATM のソフトウェアで発見したバグと組み合わせてのみ機能するものの、少なくとも 1 つの無名ブランドの ATM に現金の払い出しを強制することもできると述べています。 これを「」といいます。ジャックポット」、犯罪者は現金を盗むためにATMにアクセスするために長年にわたって多くの方法を試みてきました。 同氏はATMベンダーとの機密保持契約を理由に、ブランドや方法の特定を拒否した。

「たとえば、画面に 50 ドル支払うと表示されている場合でも、ファームウェアを変更して価格を 1 ドルに変更できます。 デバイスを使用できなくしたり、一種のランサムウェアをインストールしたりすることができます。 ここには多くの可能性がある」 ロドリゲス氏は、発見した POS 攻撃についてこう語ります。 「攻撃を連鎖させ、ATM のコンピュータに特別なペイロードを送信すると、携帯電話をタップするだけで、ATM をジャックポットして現金を引き出すことができます。」

出典: ジョセップ・ロドリゲス

影響を受けるベンダーには、ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo、および匿名の ATM ベンダーが含まれており、これらのベンダーはすべて 7 か月から 1 年前に警告を受けていました。 ただし、ほとんどの POS システムはソフトウェア アップデートを受け取っていないか、めったに受け取らないため、その多くはそうするために物理的なアクセスを必要とする可能性があります。 したがって、彼らの多くは依然として脆弱なままである可​​能性があります。 「非常に多くの数十万台の ATM に物理的にパッチを適用するには、多大な時間がかかるでしょう。」 ロドリゲスは言う。

脆弱性を実証するために、ロドリゲス氏は次のビデオを共有しました。 有線 彼がマドリードの ATM の NFC リーダーにスマートフォンをかざしたところ、機械にエラー メッセージが表示されたことが示されています。 同氏は、IOActive のセキュリティ コンサルティングの一環として入手したマシンでのみ合法的にテストすることができ、その場合、機密保持契約に違反することになるため、ジャックポッティング攻撃は見せませんでした。 ロドリゲスは尋ねた。 有線 法的責任を恐れてビデオを公開しないでください。

調査結果は次のとおりです 「組み込みデバイス上で実行されるソフトウェアの脆弱性に関する優れた研究」 セキュリティ会社SRLabsの創設者でファームウェアハッカーであり、ロドリゲスの研究をレビューしたカルステン・ノール氏は言う。 Nohl 氏はまた、現実世界の窃盗犯にとってはいくつかの欠点があることにも言及しました。 リーダーを使用すると、攻撃者は磁気ストライプ クレジット カードのデータのみを盗むことができ、EMV からの PIN やデータは盗めません。 チップス。 ATM ジャックポット攻撃には ATM ファームウェアの脆弱性も必要ですが、これが大きな障壁となります。

それでも、これらのマシン上でコードを実行するためのアクセスを取得すること自体が重大なセキュリティ上の欠陥であり、たとえそれがユーザー レベルのアクセスに過ぎなかったとしても、多くの場合、システムの最初のエントリ ポイントとなります。 外部のセキュリティ層を乗り越えると、内部のソフトウェア システムは安全とは程遠くなることがよくあります。

Red Balloon の CEO 兼主任研究員の Ang Cui 氏は、この発見に感銘を受けました。 「これらのデバイスのいずれかでコードを実行すると、 メインコントローラーは脆弱性だらけで、何年も修正されていないからです。 十年、" 崔氏は言う。 "そこから、" 彼はこう付け加えた。 「カセットディスペンサーを完全に制御できます」 現金を保持し、ユーザーに解放します。

カスタムコードの実行

任意のマシン上でカスタム コードを実行できる機能は重大な脆弱性であり、攻撃者がマシン内の基盤となるシステムを調査してさらなる脆弱性を見つけることができるようになります。 ニンテンドー 3DS はその代表的な例です。 キュービック忍者 これは、3DS を悪用して自作を実行する最も初期の方法の 1 つであることで有名です。 「Ninjhax」と呼ばれるこのエクスプロイトは、カスタム コードの実行を引き起こすバッファ オーバーフローを引き起こしました。 ゲーム自体はユーザーレベルでのみシステムにアクセスできましたが、Ninjhax は 3DS 上でカスタム ファームウェアを実行するためのさらなる悪用のベースとなりました。

ソース: クラウドフレア

単純化すると、送信されたデータの量がそのデータに割り当てられたストレージを超えると、バッファ オーバーフローがトリガーされます。つまり、超過したデータは隣接するメモリ領域に格納されます。 隣接するメモリ領域でコードを実行できる場合、攻撃者はこれを悪用してバッファを埋めることができます。 ガベージ データを削除し、その末尾に実行可能コードを追加して、隣接するファイルに読み込む メモリ。 すべてのバッファ オーバーフロー攻撃がコードを実行できるわけではなく、多くは単純にプログラムをクラッシュさせるか、予期しない動作を引き起こすだけです。 たとえば、フィールドに 8 バイトのデータしか入力できず、攻撃者が 10 バイトを強制入力した場合、末尾の追加の 2 バイトがメモリの別の領域にオーバーフローします。

続きを読む: 「PSA: PC で Linux が実行されている場合は、今すぐ Sudo を更新する必要があります」

ロドリゲス氏は、昨年 eBay からこれらの多くを購入したため、NFC リーダーや POS デバイスに対するバッファ オーバーフロー攻撃の可能性があると指摘しています。 同氏は、それらの多くが同様のセキュリティ上の欠陥に悩まされていると指摘しました。つまり、クレジット カードから NFC 経由で送信されるデータのサイズを検証していなかったということです。 読者が予想するよりも数百倍大きいデータを送信するアプリを作成すると、バッファ オーバーフローが発生する可能性がありました。

いつ 有線 影響を受けた企業にコメントを求めたが、ID Tech、BBPOS、Nexgoはコメントの要請に応じなかった。 ATM業界協会もコメントを拒否した。 インジェニコ氏は声明で、セキュリティ対策はロドリゲスのバッファオーバーフローによってデバイスがクラッシュするだけで、カスタムコードが実行されることはないことを意味していると反論した。 ロドリゲス氏は、彼らが実際にコードの実行を阻止できたかどうかは疑問だが、実証するための概念実証はまだ作成していない。 インジェニコ氏は、「顧客への不便と影響を考慮して」、いずれにしても修正版を発行すると述べた。

Verifoneは、販売時点管理の脆弱性が報告される前に2018年に発見され修正されていたと述べたが、これはこれらのデバイスがどのように更新されていないかを示しているだけだ。 ロドリゲス氏は、昨年レストランで Verifone デバイスに対する NFC 攻撃をテストしたところ、まだ脆弱性が残っていることが判明したと述べています。

「これらの脆弱性はファームウェアに何年も前から存在しており、私たちはクレジットカードやお金を扱うためにこれらのデバイスを毎日使用しています。」 ロドリゲスは言う。 「彼らを確保する必要がある。」 ロドリゲス氏は、今後数週間以内にウェビナーでこれらの脆弱性の技術的な詳細を共有する予定です。