NFC išmanieji telefonai leido tyrėjams įsilaužti į pardavimo taškų sistemas ir bankomatus

Išmanieji telefonai su įgalintu NFC leido tyrėjams įsilaužti į pardavimo taškų sistemas ir bankomatus, kai kuriuose iš jų įgyjant pasirinktinį kodo vykdymą.

Nepaisant to, kad bankomatai yra vienas iš vienintelių būdų gauti pinigų iš banko sąskaitos keliaujant, bėgant metams bankomatai turėjo daugybę saugumo problemų. Net ir dabar įsilaužėliui nėra daug kliūčių ant bankomato įdėti kortelių skaitytuvą, nes dauguma žmonių niekada nepastebės, kad jis ten yra. Žinoma, per daugelį metų buvo daug kitų atakų, kurios yra sudėtingesnės, tačiau iš esmės visada turėtumėte būti atsargūs naudodami bankomatą. Dabar yra naujas būdas nulaužti bankomatą. Tam reikia tik išmaniojo telefono su NFC.

Kaip Laidinis ataskaitos, Josepas Rodrigesas yra Sietle (Vašingtonas) įsikūrusios saugos įmonės „IOActive“ tyrėjas ir konsultantas. Pastaruosius metus jis ieškojo bankomatuose ir pardavimo taškų sistemose naudojamų NFC skaitytuvų spragų. Daugelyje bankomatų visame pasaulyje galite bakstelėti debeto arba kredito kortelę, tada įvesti PIN kodą ir išimti grynųjų pinigų, o ne reikalauti jį įdėti į patį bankomatą. Nors tai yra patogiau, ji taip pat padeda išspręsti problemą, kai virš kortelių skaitytuvo yra fizinis kortelių skaitytuvas. Bekontakčiai mokėjimai pardavimo vietų sistemose šiuo metu taip pat yra visur.

Šaltinis: Google

NFC skaitytuvų įsilaužimas

Rodriquezas sukūrė „Android“ programą, kuri suteikia jo telefonui galią imituoti ryšį su kredito kortele ir išnaudoti NFC sistemų programinės įrangos trūkumus. Mojuodamas telefonu virš NFC skaitytuvo, jis gali sujungti kelis išnaudojimus, kad sudužtų pardavimo vietos įrenginius ir į juos įsilaužtų. rinkti ir perduoti kortelių duomenis, keisti operacijų vertę ir net užrakinti įrenginius išpirkos reikalaujančiu pranešimu.

Be to, Rodriguezas teigia, kad netgi gali priversti bent vieną neįvardytą bankomatą išduoti grynuosius pinigus, nors jis veikia tik kartu su klaidomis, kurias jis rado bankomato programinėje įrangoje. Tai vadinama "jackpoting“, dėl kurio nusikaltėliai daugelį metų bandė pasiekti bankomatą, kad pavogtų grynuosius pinigus. Jis atsisakė nurodyti prekės ženklą ar būdus dėl neatskleidimo susitarimų su bankomatų pardavėjais.

„Galite modifikuoti programinę-aparatinę įrangą ir pakeisti kainą į vieną dolerį, pavyzdžiui, net tada, kai ekrane rodoma, kad mokate 50 dolerių. Galite padaryti įrenginį nenaudingą arba įdiegti išpirkos reikalaujančią programinę įrangą. Čia yra daug galimybių“, Rodriguezas pasakoja apie aptiktas pardavimo vietoje atakas. „Jei sujungsite ataką ir taip pat nusiųsite specialią naudingąją apkrovą į bankomato kompiuterį, galite gauti bankomatą, pavyzdžiui, išgryninti pinigus, tiesiog paliesdami telefoną.

Šaltinis: Josep Rodriguez

Paveikti pardavėjai yra „ID Tech“, „Ingenico“, „Verifone“, „Crane Payment Innovations“, BBPOS, „Nexgo“ ir neįvardytas bankomatų pardavėjas, ir visi jie buvo įspėti nuo 7 mėnesių iki metų. Tačiau dauguma pardavimo vietų sistemų negauna programinės įrangos atnaujinimų arba negauna retai, todėl tikėtina, kad daugeliui jų reikia fizinės prieigos. Todėl tikėtina, kad daugelis iš jų lieka pažeidžiami. „Tiek šimtų tūkstančių bankomatų užtaisymas fiziškai pareikalautų daug laiko. Rodriguezas sako.

Norėdamas parodyti pažeidžiamumą, Rodriguezas pasidalijo vaizdo įrašu su Laidinis parodyta, kaip jis mojuoja išmaniuoju telefonu virš bankomato Madride NFC skaitytuvo, todėl aparatas rodo klaidos pranešimą. Jis neparodė jackpoting atakos, nes galėjo tik legaliai ją išbandyti įrenginiuose, gautuose IOActive konsultuojant saugumo klausimais, o tai pažeistų jų neatskleidimo sutartį. – paklausė Rodrigesas Laidinis neskelbti vaizdo įrašo, baiminantis teisinės atsakomybės.

Išvados yra „Puikus įterptuosiuose įrenginiuose veikiančios programinės įrangos pažeidžiamumo tyrimas“, sako Karstenas Nohlas, saugos firmos SRLabs įkūrėjas ir programinės įrangos įsilaužėlis, peržiūrėjęs Rodriguezo darbą. Nohlas taip pat paminėjo, kad realaus pasaulio vagims yra keletas trūkumų, įskaitant tai, kad įsilaužta NFC skaitytuvas leistų užpuolikui pavogti tik mag stripe kredito kortelės duomenis, o ne PIN kodą ar duomenis iš EMV traškučiai. ATM jackpot atakai taip pat reikalingas bankomato programinės įrangos pažeidžiamumas, o tai yra didelė kliūtis.

Netgi prieiga prie kodo vykdymo šiuose įrenginiuose yra didelė saugumo klaida ir dažnai yra pirmasis įėjimo taškas bet kurioje sistemoje, net jei tai yra tik vartotojo lygio prieiga. Peržengus išorinį saugumo sluoksnį, dažnai būna, kad vidinės programinės įrangos sistemos nėra tokios saugios.

„Red Balloon“ generalinis direktorius ir vyriausiasis mokslininkas Ang Cui buvo sužavėtas išvadų. „Manau, kad labai tikėtina, kad atlikę kodą bet kuriame iš šių įrenginių, galėsite gauti teisę į pagrindinį valdytoją, nes tas dalykas yra pilnas pažeidžiamumų, kurie nebuvo ištaisyti ilgiau nei dešimtmetis," Cui sako. "Iš ten," jis priduria, "Jūs galite visiškai valdyti kasečių dozatorių" kuri laiko ir išleidžia grynuosius pinigus vartotojams.

Pasirinktinis kodo vykdymas

Galimybė vykdyti pasirinktinį kodą bet kuriame kompiuteryje yra didelis pažeidžiamumas ir suteikia užpuolikui galimybę ištirti pagrindines mašinos sistemas, kad surastų daugiau pažeidžiamumų. „Nintendo 3DS“ yra puikus to pavyzdys: žaidimas vadinamas Kubinė nindzė buvo žinomas vienas iš pirmųjų būdų išnaudoti 3DS ir atlikti namų ruošimą. Išnaudojimas, pavadintas „Ninjhax“, sukėlė buferio perpildymą, dėl kurio buvo paleistas pasirinktinis kodas. Nors pats žaidimas turėjo tik vartotojo lygio prieigą prie sistemos, „Ninjhax“ tapo tolesnių išnaudojimų pagrindu paleisti pasirinktinę programinę-aparatinę įrangą 3DS.

Šaltinis: Cloudflare

Supaprastinant: buferio perpildymas suaktyvinamas, kai siunčiamų duomenų kiekis viršija tiems duomenims skirtą saugyklą, o tai reiškia, kad pertekliniai duomenys saugomi gretimuose atminties regionuose. Jei gretima atminties sritis gali vykdyti kodą, užpuolikas gali juo piktnaudžiauti, kad užpildytų buferį šiukšlių duomenis, tada pridėkite vykdomąjį kodą prie jo pabaigos, kur jis bus nuskaitytas į gretimą atmintis. Ne visos buferio perpildymo atakos gali vykdyti kodą, o daugelis tiesiog sugenda programą arba sukels netikėtą elgesį. Pavyzdžiui, jei laukas gali užimti tik 8 baitus duomenų, o užpuolikas priverstinai įveda 10 baitų, tada papildomi 2 baitai pabaigoje persipildys į kitą atminties sritį.

Skaitykite daugiau: „PSA: jei jūsų kompiuteryje veikia „Linux“, dabar turėtumėte atnaujinti „Sudo“

Rodriguezas pažymi, kad galimos buferio perpildymo atakos prieš NFC skaitytuvus ir pardavimo vietos įrenginius, nes per pastaruosius metus jis daug jų nusipirko iš „eBay“. Jis atkreipė dėmesį, kad daugelis iš jų patyrė tą patį saugumo trūkumą: jie nepatvirtino per NFC iš kreditinės kortelės siunčiamų duomenų dydžio. Sukūrus programą, siunčiančią šimtus kartų didesnius duomenis, nei tikisi skaitytojas, buvo galima suaktyvinti buferio perpildymą.

Kada Laidinis susisiekė su paveiktomis įmonėmis dėl komentarų, ID Tech, BBPOS ir Nexgo neatsakė į prašymus komentuoti. Bankomatų pramonės asociacija taip pat atsisakė komentuoti. „Ingenico“ atsakė pareiškime, kad saugumo mažinimas reiškia, kad „Rodriguez“ buferio perpildymas gali sugadinti įrenginius, o ne įgyti pasirinktinio kodo vykdymo. Rodriguezas abejoja, ar jie iš tikrųjų būtų užkirtę kelią kodo vykdymui, bet nesukūrė koncepcijos įrodymo, kurį galėtų įrodyti. „Ingenico“ teigė, kad „atsižvelgdama į nepatogumus ir poveikį mūsų klientams“, ji vis tiek paskelbė pataisymą.

„Verifone“ teigė, kad 2018 m. rado ir ištaisė pardavimo vietos spragas, kol apie jas nebuvo pranešta, tačiau tai tik parodo, kaip šie įrenginiai niekada neatnaujinami. Rodriguezas sako, kad praėjusiais metais restorane išbandė savo NFC atakas prieš „Verifone“ įrenginį ir nustatė, kad jis vis tiek liko pažeidžiamas.

„Šios programinės aparatinės įrangos pažeidžiamumai buvo jau daugelį metų, o mes kasdien naudojame šiuos įrenginius savo kredito kortelėms ir pinigams tvarkyti. Rodriguezas sako. – Juos reikia apsaugoti. Rodriguezas artimiausiomis savaitėmis planuoja pasidalinti technine šių pažeidžiamumų detale.