NFC 스마트폰을 통해 연구원들은 POS 시스템과 ATM을 해킹할 수 있었습니다.

이동 중에도 은행 계좌에서 돈을 인출할 수 있는 유일한 방법임에도 불구하고 ATM은 수년 동안 수많은 보안 문제를 안고 있었습니다. 지금도 해커가 ATM에 카드 스키머를 설치하는 것을 막는 방법은 없습니다. 대부분의 사람들은 ATM에 카드 스키머가 있다는 사실을 전혀 알아채지 못할 것이기 때문입니다. 물론 지난 몇 년 동안 그보다 더 복잡한 다른 공격도 많이 있었지만 전반적으로 ATM을 사용할 때는 항상 조심해야 합니다. 이제 ATM을 해킹할 수 있는 새로운 방법이 등장했습니다. 필요한 것은 NFC 기능이 있는 스마트폰뿐입니다.

처럼 열광한 보고서, 호셉 로드리게스 워싱턴 주 시애틀에 본사를 둔 보안 회사인 IOActive의 연구원이자 컨설턴트이며 지난 1년 동안 ATM 및 POS 시스템에 사용되는 NFC 리더기의 취약점을 찾아냈습니다. 전 세계 많은 ATM에서는 ATM에 PIN을 삽입하지 않고도 직불카드나 신용카드를 탭하여 PIN을 입력하고 현금을 인출할 수 있습니다. 더 편리하면서도 카드 리더기 위에 존재하는 물리적 카드 스키머 문제도 해결합니다. POS(Point of Sale) 시스템의 비접촉식 결제도 이 시점에서 어디서나 볼 수 있습니다.

NFC 리더 해킹

Rodriquez는 휴대폰에 신용 카드 통신을 모방하고 NFC 시스템 펌웨어의 결함을 악용할 수 있는 기능을 제공하는 Android 앱을 구축했습니다. 그는 NFC 리더 위에 휴대폰을 흔들면 여러 익스플로잇을 연결하여 POS 장치를 충돌시키고 해킹할 수 있습니다. 카드 데이터를 수집 및 전송하고, 거래 금액을 변경하고, 랜섬웨어 메시지로 장치를 잠그기까지 합니다.

더욱이 Rodriguez는 ATM 소프트웨어에서 발견한 버그와 함께 작동하는 경우에만 작동하지만 이름이 알려지지 않은 하나 이상의 ATM 브랜드에 현금을 지급하도록 강제할 수도 있다고 말합니다. 이것은... 불리운다 "

대박", 범죄자들이 현금을 훔치기 위해 ATM에 접근하기 위해 수년 동안 여러 가지 방법을 시도했습니다. 그는 ATM 공급업체와의 비공개 계약으로 인해 브랜드나 방법을 지정하는 것을 거부했습니다.

"예를 들어 화면에 50달러를 지불한다고 표시되어 있어도 펌웨어를 수정하고 가격을 1달러로 변경할 수 있습니다. 장치를 쓸모없게 만들거나 일종의 랜섬웨어를 설치할 수 있습니다. 여기에는 많은 가능성이 있다" Rodriguez는 자신이 발견한 POS(Point-of-Sale) 공격에 대해 이렇게 말합니다. "공격을 연결하고 ATM 컴퓨터에 특수 페이로드를 보내면 ATM에 잭팟을 터뜨릴 수 있습니다. 마치 휴대폰을 탭하기만 하면 현금을 인출하는 것과 같습니다."

출처: 호세프 로드리게스

영향을 받은 공급업체에는 ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo 및 이름 없는 ATM 공급업체가 포함되며, 이들 모두는 7개월에서 1년 전에 경고를 받았습니다. 그러나 대부분의 POS 시스템은 소프트웨어 업데이트를 받지 않거나 거의 받지 않으며, 이를 위해서는 물리적 액세스가 필요한 경우가 많습니다. 따라서 이들 중 상당수가 취약한 상태로 남아 있을 가능성이 높습니다. "수십만 개의 ATM을 물리적으로 패치하려면 많은 시간이 필요합니다." 로드리게스는 말합니다.

취약점을 시연하기 위해 Rodriguez는 다음과 비디오를 공유했습니다. 열광한 마드리드에 있는 ATM의 NFC 리더 위에 스마트폰을 흔들자 기계에 오류 메시지가 표시되는 모습을 보여줍니다. 그는 IOActive의 보안 컨설팅의 일부로 얻은 시스템에서만 합법적으로 테스트할 수 있었기 때문에 대박 공격을 보여주지 않았습니다. 그러면 비공개 계약을 위반하게 됩니다. 로드리게스가 물었다. 열광한 법적 책임이 두려워 동영상을 게시하지 마세요.

연구 결과는 다음과 같습니다 "임베디드 장치에서 실행되는 소프트웨어의 취약성에 대한 탁월한 연구입니다." Rodriguez의 작업을 검토한 보안 회사 SRLabs의 설립자이자 펌웨어 해커인 Karsten Nohl은 말합니다. Nohl은 또한 해킹된 NFC를 포함하여 실제 도둑에게는 몇 가지 단점이 있다고 언급했습니다. 리더는 공격자가 EMV의 PIN이나 데이터가 아닌 마그네틱 스트라이프 신용 카드 데이터만 훔치는 것을 허용합니다. 작은 조각. ATM 잭팟 공격에는 ATM 펌웨어의 취약점도 필요하며 이는 큰 장벽입니다.

그럼에도 불구하고 이러한 시스템에서 코드를 실행하기 위한 액세스 권한을 얻는 것은 그 자체로 주요 보안 결함이며, 사용자 수준 액세스에 지나지 않더라도 시스템의 첫 번째 진입점이 되는 경우가 많습니다. 외부 보안 계층을 통과하면 내부 소프트웨어 시스템이 보안 수준에 전혀 미치지 못하는 경우가 많습니다.

Red Balloon CEO이자 수석 과학자인 Ang Cui는 이번 연구 결과에 깊은 인상을 받았습니다. "이러한 장치 중 하나에서 코드를 실행하면 다음을 얻을 수 있다는 것이 매우 타당하다고 생각합니다. 메인 컨트롤러에 바로 접근할 수 있습니다. 왜냐하면 그 컨트롤러에는 오랫동안 수정되지 않은 취약점이 가득하기 때문입니다. 10년," 큐이는 말한다. "거기에서," 그는 덧붙인다. "카세트 디스펜서를 완벽하게 제어할 수 있습니다" 사용자에게 현금을 보유하고 공개합니다.

사용자 정의 코드 실행

모든 시스템에서 사용자 정의 코드를 실행하는 능력은 주요 취약점이며 공격자가 시스템의 기본 시스템을 조사하여 더 많은 취약점을 찾을 수 있는 능력을 제공합니다. Nintendo 3DS는 이에 대한 대표적인 예입니다. 큐빅닌자 3DS를 활용하고 홈브류를 실행하는 최초의 방법 중 하나로 유명합니다. "Ninjhax"라고 명명된 이 익스플로잇은 사용자 지정 코드 실행을 트리거하는 버퍼 오버플로를 발생시켰습니다. 게임 자체에는 시스템에 대한 사용자 수준 액세스만 있었지만 Ninjhax는 3DS에서 맞춤형 펌웨어를 실행하기 위한 추가 공격의 기반이 되었습니다.

단순화하자면, 전송된 데이터의 양이 해당 데이터에 할당된 저장 공간을 초과하면 버퍼 오버플로가 발생합니다. 즉, 초과된 데이터는 인접한 메모리 영역에 저장됩니다. 인접한 메모리 영역이 코드를 실행할 수 있는 경우 공격자는 이를 악용하여 버퍼를 다음과 같이 채울 수 있습니다. 데이터를 가비지하고 그 끝에 실행 코드를 추가하면 인접한 데이터를 읽을 수 있습니다. 메모리. 모든 버퍼 오버플로 공격이 코드를 실행할 수 있는 것은 아니며 대부분은 단순히 프로그램을 중단시키거나 예상치 못한 동작을 유발합니다. 예를 들어 필드가 8바이트의 데이터만 사용할 수 있고 공격자가 10바이트를 강제로 입력한 경우 끝에 추가되는 2바이트가 메모리의 다른 영역으로 오버플로됩니다.

자세한 내용: "PSA: PC에서 Linux를 실행하는 경우 지금 Sudo를 업데이트해야 합니다."

Rodriguez는 NFC 리더와 POS 장치에 대한 버퍼 오버플로 공격이 가능하다고 지적합니다. 왜냐하면 그가 작년에 eBay에서 이러한 장치를 많이 구입했기 때문입니다. 그는 그들 중 다수가 동일한 보안 결함을 겪고 있다고 지적했습니다. 그들은 신용카드에서 NFC를 통해 전송되는 데이터의 크기를 검증하지 않았습니다. 독자가 예상한 것보다 수백 배 더 큰 데이터를 전송하는 앱을 만들면 버퍼 오버플로가 발생할 수 있었습니다.

언제 열광한 영향을 받은 회사에 의견을 요청했지만 ID Tech, BBPOS 및 Nexgo는 의견 요청에 응답하지 않았습니다. ATM산업협회도 논평을 거부했다. Ingenico는 성명을 통해 보안 완화로 인해 Rodriguez의 버퍼 오버플로로 인해 장치만 충돌할 수 있고 사용자 정의 코드 실행이 불가능하다는 것을 의미한다고 응답했습니다. Rodriguez는 실제로 코드 실행을 방해했을지는 의심스럽습니다. 그러나 시연할 개념 증명은 만들지 않았습니다. Ingenico는 "고객의 불편과 영향을 고려하여"어차피 수정 사항을 발표했다고 밝혔습니다.

Verifone은 보고되기 전인 2018년에 POS 취약점을 발견하고 수정했다고 밝혔습니다. 하지만 이는 이러한 장치가 어떻게 업데이트되지 않는지 보여줄 뿐입니다. Rodriguez는 작년에 레스토랑에서 Verifone 장치에 대한 NFC 공격을 테스트한 결과 여전히 취약한 것으로 나타났습니다.

"이러한 취약점은 수년 동안 펌웨어에 존재해 왔으며 우리는 신용 카드와 돈을 처리하기 위해 매일 이러한 장치를 사용하고 있습니다." 로드리게스는 말합니다. "그들은 안전해야 합니다." Rodriguez는 앞으로 몇 주 안에 웹 세미나를 통해 이러한 취약점에 대한 기술적 세부 사항을 공유할 계획입니다.