NFC სმარტფონებმა მკვლევარებს საშუალება მისცეს, გაეტეხათ გაყიდვების წერტილები და ბანკომატები

MiscellaneaNov 06, 2023

NFC ჩართული სმარტფონებმა მკვლევარებს საშუალება მისცეს გატეხონ გაყიდვების წერტილები და ბანკომატები, ზოგიერთ მათგანზე პერსონალური კოდის შესრულება.

მიუხედავად იმისა, რომ თქვენი საბანკო ანგარიშიდან ფულის გამოტანის ერთ-ერთი ერთადერთი გზაა, ბანკომატებს წლების განმავლობაში ჰქონდათ უსაფრთხოების მრავალი პრობლემა. ახლაც არ უშლის ხელს ჰაკერს ბანკომატზე ბარათის სკიმერის განთავსებაში, რადგან ადამიანების უმეტესობა ვერასდროს შეამჩნევს მის არსებობას. რა თქმა უნდა, იყო მრავალი სხვა თავდასხმა წლების განმავლობაში, რომლებიც უფრო რთულია, მაგრამ ზოგადად, ყოველთვის ფრთხილად უნდა იყოთ ბანკომატის გამოყენებისას. ახლა არის ბანკომატის გატეხვის ახალი გზა და მას მხოლოდ სმარტფონი სჭირდება NFC-ით.

როგორც სადენიანი იუწყება, ხოსეპ როდრიგესი არის მკვლევარი და კონსულტანტი IOActive-ში, უსაფრთხოების ფირმაში, რომელიც დაფუძნებულია სიეტლში, ვაშინგტონი, და მან გასული წელი გაატარა დაუცველობის პოვნაში NFC მკითხველებში, რომლებიც გამოიყენება ბანკომატებსა და გაყიდვების წერტილებში. ბევრი ბანკომატები მთელს მსოფლიოში საშუალებას გაძლევთ შეხვიდეთ თქვენს სადებეტო ან საკრედიტო ბარათზე, რომ შეიყვანოთ თქვენი PIN და განახორციელოთ ნაღდი ფული, ნაცვლად იმისა, რომ მოგთხოვოთ მისი ჩასმა ბანკომატში. მიუხედავად იმისა, რომ ეს უფრო მოსახერხებელია, ის ასევე აგვარებს პრობლემას, რომ ბარათის სკიმერი იმყოფება ბარათის წამკითხველზე. უკონტაქტო გადახდები გაყიდვების წერტილების სისტემებზე ასევე გავრცელებულია ამ ეტაპზე.

წყარო: Google

NFC მკითხველის გატეხვა

როდრიკესმა შექმნა ანდროიდის აპლიკაცია, რომელიც მის ტელეფონს აძლევს უფლებას მიბაძოს საკრედიტო ბარათის კომუნიკაციებს და გამოიყენოს ხარვეზები NFC სისტემების firmware-ში. ტელეფონს NFC მკითხველზე ატრიალებს, მას შეუძლია მრავალი ექსპლოიტის ჯაჭვში შეერთება გაყიდვების პუნქტის მოწყობილობების გასაფუჭებლად, გატეხვის მიზნით. ბარათის მონაცემების შეგროვება და გადაცემა, ტრანზაქციების ღირებულების შეცვლა და მოწყობილობების დაბლოკვა გამოსასყიდის პროგრამით.

გარდა ამისა, როდრიგესი ამბობს, რომ მას შეუძლია აიძულოს მინიმუმ ერთი უსახელო ბრენდის ბანკომატის გაცემა ნაღდი ფულის გაცემაში, თუმცა ის მუშაობს მხოლოდ იმ ხარვეზებთან ერთად, რომლებიც მან აღმოაჩინა ბანკომატის პროგრამულ უზრუნველყოფაში. Ამას ჰქვია "ჯეკპოტინგი“, რისთვისაც მრავალი გზა ცდილობდნენ კრიმინალები წლების განმავლობაში, მიეღოთ წვდომა ბანკომატზე ფულის მოპარვის მიზნით. მან უარი თქვა ბრენდის ან მეთოდების დაკონკრეტებაზე ბანკომატების გამყიდველებთან გაფორმებული შეთანხმებების გამო.

„შეგიძლიათ შეცვალოთ firmware და შეცვალოთ ფასი ერთ დოლარად, მაგალითად, მაშინაც კი, როდესაც ეკრანი აჩვენებს, რომ თქვენ იხდით 50 დოლარს. შეგიძლიათ მოწყობილობა გამოუსადეგარი გახადოთ, ან დააინსტალიროთ ერთგვარი გამოსასყიდი პროგრამა. აქ ბევრი შესაძლებლობაა" ამბობს როდრიგესი მის მიერ აღმოჩენილი შეტევების შესახებ. „თუ შეტევას აკავშირებთ და ასევე აგზავნით სპეციალურ დატვირთვას ბანკომატის კომპიუტერში, შეგიძლიათ ბანკომატის ჯეკპოტი - ისევე როგორც ნაღდი ფული, უბრალოდ ტელეფონზე შეხებით.

წყარო: ხოსეპ როდრიგესი

დაზარალებული მოვაჭრეები არიან ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo და ბანკომატის უსახელო გამყიდველი და ყველა მათგანი გაფრთხილებული იყო 7 თვის და ერთი წლის წინ. თუმცა, გაყიდვების წერტილების სისტემების უმეტესობა არ იღებს პროგრამული უზრუნველყოფის განახლებებს ან იშვიათად იღებს, და სავარაუდოა, რომ ბევრი მათგანი ფიზიკურ წვდომას მოითხოვს ამისათვის. ამიტომ, სავარაუდოა, რომ ბევრი მათგანი დაუცველი რჩება. "ამდენი ასობით ათასი ბანკომატის ფიზიკურად შესწორება, ეს არის ის, რაც დიდ დროს მოითხოვს." ამბობს როდრიგესი.

დაუცველობის საჩვენებლად, როდრიგესმა გააზიარა ვიდეო სადენიანი აჩვენებს მას მადრიდში ბანკომატის NFC მკითხველს სმარტფონს აფრიალებს, რის შედეგადაც მანქანა აჩვენა შეცდომის შეტყობინება. მან არ აჩვენა ჯეკპოტინგის თავდასხმა, რადგან მას შეეძლო მისი ლეგალურად ტესტირება მხოლოდ IOActive-ის უსაფრთხოების კონსულტაციის ფარგლებში მიღებულ მანქანებზე, რაც შემდეგ დაარღვევდა მათ ხელშეკრულებას არაგამჟღავნების შესახებ. ჰკითხა როდრიგესმა სადენიანი არ გამოაქვეყნოს ვიდეო სამართლებრივი პასუხისმგებლობის შიშით.

დასკვნები არის "შესანიშნავი კვლევა ჩაშენებულ მოწყობილობებზე გაშვებული პროგრამული უზრუნველყოფის დაუცველობის შესახებ." ამბობს კარსტენ ნოლი, უსაფრთხოების ფირმა SRLabs-ის დამფუძნებელი და firmware-ჰაკერი, რომელმაც მიმოიხილა როდრიგესის ნამუშევარი. ნოლმა ასევე აღნიშნა, რომ რეალურ სამყაროში ქურდებს აქვთ რამდენიმე ნაკლი, მათ შორის გატეხილი NFC მკითხველი თავდამსხმელს მხოლოდ მაგ ზოლიანი საკრედიტო ბარათის მონაცემების მოპარვის საშუალებას აძლევს და არა PIN-ის ან მონაცემების EMV-დან ჩიფსები. ბანკომატის ჯეკპოტის შეტევა ასევე მოითხოვს დაუცველობას ბანკომატის firmware-ში, რაც დიდ ბარიერს წარმოადგენს.

მიუხედავად ამისა, ამ მანქანებზე კოდის შესრულებაზე წვდომის მოპოვება თავისთავად უსაფრთხოების მთავარი ხარვეზია და ხშირად არის პირველი შესვლის წერტილი ნებისმიერ სისტემაში, თუნდაც ის იყოს არაუმეტეს მომხმარებლის დონის წვდომა. როგორც კი თქვენ გადალახავთ უსაფრთხოების გარე ფენას, ხშირად ხდება ისე, რომ შიდა პროგრამული სისტემები არსად არის ისეთივე უსაფრთხო.

Red Balloon-ის აღმასრულებელი დირექტორი და მთავარი მეცნიერი ანგ კუი აღფრთოვანებული იყო ამ აღმოჩენებით. ”ვფიქრობ, ძალიან დამაჯერებელია, რომ მას შემდეგ რაც კოდის შესრულება გაქვთ რომელიმე ამ მოწყობილობაზე, თქვენ უნდა მიიღოთ პირდაპირ მთავარ კონტროლერზე, რადგან ეს ნივთი სავსეა მოწყვლადობით, რომლებიც არ არის გამოსწორებული ათწლეული", კუი ამბობს. "იქიდან," ის დასძენს, "თქვენ შეგიძლიათ აბსოლუტურად აკონტროლოთ კასეტის დისპენსერი" რომელიც ინახავს და ათავისუფლებს ფულს მომხმარებლებს.

მორგებული კოდის შესრულება

ნებისმიერ მანქანაზე მორგებული კოდის შესრულების შესაძლებლობა არის მთავარი დაუცველობა და თავდამსხმელს აძლევს შესაძლებლობას გამოიკვლიოს აპარატის ძირითადი სისტემები, რათა იპოვოს მეტი დაუცველობა. Nintendo 3DS ამის ნათელი მაგალითია: თამაში ე.წ კუბური ნინძა ცნობილი იყო 3DS-ის ექსპლუატაციისა და homebrew-ის შესრულების ერთ-ერთი ყველაზე ადრეული გზა. ექსპლოიტმა, სახელწოდებით "Ninjhax", გამოიწვია ბუფერის გადინება, რამაც გამოიწვია საბაჟო კოდის შესრულება. მიუხედავად იმისა, რომ თამაშს ჰქონდა მხოლოდ მომხმარებლის დონის წვდომა სისტემაზე, Ninjhax გახდა შემდგომი ექსპლოიტების საფუძველი 3DS-ზე მორგებული პროგრამული უზრუნველყოფის გასაშვებად.

წყარო: Cloudflare

გამარტივებისთვის: ბუფერული გადადინება ამოქმედდება, როდესაც გაგზავნილი მონაცემების მოცულობა აღემატება ამ მონაცემებისთვის გამოყოფილ მეხსიერებას, რაც იმას ნიშნავს, რომ ჭარბი მონაცემები ინახება მეხსიერების მიმდებარე რეგიონებში. თუ მეხსიერების მიმდებარე რეგიონს შეუძლია შეასრულოს კოდი, მაშინ თავდამსხმელს შეუძლია ბოროტად გამოიყენოს ეს ბუფერის შესავსებად ნაგვის მონაცემები და შემდეგ დაამატეთ შესრულებადი კოდი მის ბოლოს, სადაც ის წაიკითხება მიმდებარედ მეხსიერება. ყველა ბუფერული გადასასვლელი თავდასხმას არ შეუძლია შეასრულოს კოდი და ბევრი უბრალოდ არღვევს პროგრამას ან გამოიწვევს მოულოდნელ ქცევას. მაგალითად, თუ ველს შეუძლია მიიღოს მხოლოდ 8 ბაიტი მონაცემი და თავდამსხმელის მიერ იძულებითი შეყვანა 10 ბაიტი, მაშინ დამატებითი 2 ბაიტი ბოლოს გადაედინება მეხსიერების სხვა რეგიონში.

წაიკითხეთ მეტი: "PSA: თუ თქვენი კომპიუტერი მუშაობს Linux-ზე, ახლავე უნდა განაახლოთ Sudo"

როდრიგესი აღნიშნავს, რომ ბუფერული გადასასვლელი თავდასხმები NFC მკითხველებსა და გასაყიდი წერტილების მოწყობილობებზე შესაძლებელია, რადგან მან ბევრი მათგანი იყიდა eBay-დან გასული წლის განმავლობაში. მან აღნიშნა, რომ ბევრ მათგანს ჰქონდა იგივე უსაფრთხოების ხარვეზი: მათ არ ამოწმებდნენ NFC-ით გაგზავნილი მონაცემების ზომა საკრედიტო ბარათიდან. აპლიკაციის დამზადებით, რომელიც ასჯერ უფრო დიდ მონაცემებს აგზავნიდა, ვიდრე მკითხველი მოელის, შესაძლებელი გახდა ბუფერის გადინება.

Როდესაც სადენიანი კომენტარისთვის მიმართა დაზარალებულ კომპანიებს, ID Tech, BBPOS და Nexgo არ უპასუხეს კომენტარის თხოვნას. ბანკომატების ინდუსტრიის ასოციაციამ ასევე უარი თქვა კომენტარის გაკეთებაზე. Ingenico-მ უპასუხა განცხადებაში, რომ უსაფრთხოების შერბილება ნიშნავს, რომ როდრიგესის ბუფერის გადინება შეეძლო მხოლოდ მოწყობილობების ავარია და არა პირადი კოდის შესრულება. როდრიგესი საეჭვოა, რომ ისინი რეალურად შეუშლიდნენ კოდის შესრულებას, მაგრამ არ შექმნილა კონცეფციის დამადასტურებელი საბუთი. Ingenico-მ თქვა, რომ „ჩვენი მომხმარებლებისთვის შექმნილი უხერხულობისა და გავლენის გათვალისწინებით“, ის მაინც გამოასწორებდა.

Verifone-მა თქვა, რომ მან აღმოაჩინა და დააფიქსირა გაყიდვების წერტილის დაუცველობა 2018 წელს, სანამ ისინი შეტყობინებდნენ, თუმცა ეს მხოლოდ აჩვენებს, თუ როგორ არასოდეს განახლდება ეს მოწყობილობები. როდრიგესი ამბობს, რომ მან შარშან რესტორანში შეამოწმა თავისი NFC შეტევები Verifone მოწყობილობაზე და აღმოაჩინა, რომ ის კვლავ დაუცველი იყო.

„ეს დაუცველობა უკვე წლებია არსებობს firmware-ში და ჩვენ ამ მოწყობილობებს ყოველდღიურად ვიყენებთ ჩვენი საკრედიტო ბარათების, ფულის დასამუშავებლად. ამბობს როდრიგესი. "ისინი უნდა იყოს დაცული." როდრიგესი გეგმავს ამ დაუცველობის ტექნიკური დეტალების გაზიარებას ვებინარზე უახლოეს კვირებში.