Met smartphones met NFC konden onderzoekers verkooppuntsystemen en geldautomaten hacken, waarbij op sommige ervan aangepaste code kon worden uitgevoerd.
Ondanks dat het een van de weinige manieren is om onderweg geld van je bankrekening te halen, hebben geldautomaten door de jaren heen een hele reeks beveiligingsproblemen gekend. Zelfs nu nog is er niet veel dat een hacker tegenhoudt om een kaartskimmer op een geldautomaat te plaatsen, omdat de meeste mensen nooit zullen merken dat deze er is. Er zijn in de loop der jaren natuurlijk ook een aantal andere aanvallen geweest die complexer zijn dan dat, maar over het algemeen moet je altijd voorzichtig zijn bij het gebruik van een geldautomaat. Nu is er een nieuwe manier om een geldautomaat te hacken, en het enige dat hiervoor nodig is, is een smartphone met NFC.
Als Bedrade rapporten, Josep Rodriguez is onderzoeker en consultant bij IOActive, een beveiligingsbedrijf gevestigd in Seattle, Washington, en hij heeft het afgelopen jaar kwetsbaarheden gevonden in NFC-lezers die worden gebruikt in geldautomaten en verkooppuntsystemen. Bij veel geldautomaten over de hele wereld kunt u op uw bankpas of creditcard tikken om vervolgens uw pincode in te voeren en geld op te nemen, in plaats van dat u deze in de geldautomaat zelf hoeft te plaatsen. Hoewel het handiger is, omzeilt het ook het probleem dat er een fysieke kaartskimmer aanwezig is via de kaartlezer. Contactloze betalingen via kassasystemen zijn op dit moment ook alomtegenwoordig.
NFC-lezers hacken
Rodriquez heeft een Android-app gebouwd waarmee zijn telefoon creditcardcommunicatie kan nabootsen en fouten in de firmware van het NFC-systeem kan misbruiken. Door met zijn telefoon over de NFC-lezer te zwaaien, kan hij meerdere exploits aan elkaar koppelen om verkooppuntapparaten te laten crashen en te hacken om kaartgegevens te verzamelen en te verzenden, de waarde van transacties te wijzigen en zelfs de apparaten te vergrendelen met een ransomware-bericht.
Bovendien zegt Rodriguez dat hij zelfs minstens één niet nader genoemd merk geldautomaat kan dwingen contant geld uit te delen, hoewel dit alleen werkt in combinatie met bugs die hij in de software van de geldautomaat heeft gevonden. Dit heet "jackpotten", waarvoor criminelen door de jaren heen op veel manieren hebben geprobeerd toegang te krijgen tot een geldautomaat om contant geld te stelen. Hij weigerde het merk of de methoden te specificeren vanwege geheimhoudingsovereenkomsten met de geldautomatenleveranciers.
"Je kunt de firmware aanpassen en de prijs wijzigen naar bijvoorbeeld één dollar, zelfs als op het scherm staat dat je 50 dollar betaalt. U kunt het apparaat onbruikbaar maken of een soort ransomware installeren. Er zijn hier veel mogelijkheden’ zegt Rodriguez over de aanvallen op verkooppunten die hij ontdekte. "Als je de aanval aan elkaar koppelt en ook een speciale lading naar de computer van een geldautomaat stuurt, kun je de geldautomaat een jackpot geven, net als uitbetalen, gewoon door op je telefoon te tikken."
Bron: Josep Rodriguez
Getroffen leveranciers zijn onder meer ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo en een niet bij naam genoemde geldautomaatleverancier, en ze zijn allemaal tussen zeven maanden en een jaar geleden gewaarschuwd. De meeste verkooppuntsystemen ontvangen echter geen software-updates of zelden, en het is waarschijnlijk dat veel daarvan fysieke toegang nodig hebben om dit te doen. Daarom is het waarschijnlijk dat velen van hen kwetsbaar blijven. "Het fysiek patchen van zoveel honderdduizenden geldautomaten, dat zou veel tijd vergen", zegt Rodriguez.
Om de kwetsbaarheden aan te tonen deelde Rodriguez een video met Bedrade waarop hij met een smartphone over de NFC-lezer van een geldautomaat in Madrid zwaaide, waardoor de automaat een foutmelding gaf. Hij liet de jackpotting-aanval niet zien, omdat hij deze alleen legaal kon testen op machines die waren verkregen als onderdeel van IOActive's beveiligingsadvies, wat vervolgens hun geheimhoudingsovereenkomst zou schenden. vroeg Rodriguez Bedrade de video niet te publiceren uit angst voor juridische aansprakelijkheid.
De bevindingen zijn "uitstekend onderzoek naar de kwetsbaarheid van software die op embedded devices draait", zegt Karsten Nohl, de oprichter van beveiligingsbedrijf SRLabs en firmware-hacker, die het werk van Rodriguez beoordeelde. Nohl zei ook dat er een paar nadelen zijn voor echte dieven, waaronder een gehackte NFC De lezer zou een aanvaller alleen toestaan om creditcardgegevens van Mag Stripe te stelen, niet de pincode of gegevens van EMV chips. De ATM-jackpotaanval vereist ook een kwetsbaarheid in de ATM-firmware, wat een grote barrière vormt.
Toch is het verkrijgen van toegang om code op deze machines uit te voeren op zichzelf al een grote beveiligingsfout, en vaak het eerste toegangspunt in elk systeem, ook al is het niet meer dan toegang op gebruikersniveau. Als je eenmaal voorbij de buitenste beveiligingslaag bent, is het vaak zo dat de interne softwaresystemen lang niet zo veilig zijn.
Red Balloon CEO en hoofdwetenschapper Ang Cui was onder de indruk van de bevindingen. "Ik denk dat het heel aannemelijk is dat zodra je code op een van deze apparaten uitvoert, je in staat zou moeten zijn om rechtstreeks naar de hoofdcontroller, omdat dat ding vol kwetsbaarheden zit die al meer dan een jaar niet zijn opgelost decennium," zegt Cui. "Vanaf daar," hij voegt toe, "je hebt absoluut controle over de cassettedispenser" die contant geld vasthoudt en vrijgeeft aan gebruikers.
Uitvoering van aangepaste code
De mogelijkheid om aangepaste code op elke machine uit te voeren is een grote kwetsbaarheid en geeft een aanvaller de mogelijkheid om onderliggende systemen in een machine te doorzoeken om meer kwetsbaarheden te vinden. De Nintendo 3DS is hiervan een goed voorbeeld: een spel genaamd Kubieke Ninja was beroemd een van de eerste manieren om de 3DS te exploiteren en homebrew uit te voeren. De exploit, genaamd "Ninjhax", veroorzaakte een bufferoverflow die de uitvoering van aangepaste code veroorzaakte. Hoewel de game zelf alleen toegang op gebruikersniveau tot het systeem had, werd Ninjhax de basis van verdere exploits voor het uitvoeren van aangepaste firmware op de 3DS.
Ter vereenvoudiging: er wordt een bufferoverloop geactiveerd wanneer het volume aan verzonden gegevens de toegewezen opslag voor die gegevens overschrijdt, wat betekent dat de overtollige gegevens vervolgens worden opgeslagen in aangrenzende geheugengebieden. Als een aangrenzende geheugenregio code kan uitvoeren, kan een aanvaller deze misbruiken om de buffer mee te vullen garbage data, en voeg dan uitvoerbare code toe aan het einde ervan, waar het in het aangrenzende bestand wordt ingelezen geheugen. Niet alle bufferoverflow-aanvallen kunnen code uitvoeren, en veel aanvallen laten simpelweg een programma crashen of veroorzaken onverwacht gedrag. Als een veld bijvoorbeeld slechts 8 bytes aan gegevens kan bevatten en een aanvaller een invoer van 10 bytes afdwingt, zouden de extra 2 bytes aan het einde overlopen naar een ander geheugengebied.
Lees meer: "PSA: als uw pc Linux gebruikt, moet u Sudo nu updaten"
Rodriguez merkt op dat buffer-overflow-aanvallen op NFC-lezers en verkooppuntapparaten mogelijk zijn, aangezien hij het afgelopen jaar veel hiervan op eBay heeft gekocht. Hij wees erop dat velen van hen aan hetzelfde beveiligingsprobleem leden: ze valideerden de grootte van de gegevens die via NFC vanaf een creditcard werden verzonden niet. Door een app te maken die gegevens honderden keren groter stuurde dan de lezer verwachtte, was het mogelijk een bufferoverflow te activeren.
Wanneer Bedrade nam contact op met de getroffen bedrijven voor commentaar, ID Tech, BBPOS en Nexgo reageerden niet op verzoeken om commentaar. Ook de ATM Industry Association weigerde commentaar te geven. Ingenico reageerde in een verklaring dat beveiligingsmaatregelen ervoor zorgden dat de bufferoverflow van Rodriguez alleen apparaten kon laten crashen en geen aangepaste code-uitvoering kon bewerkstelligen. Rodriguez betwijfelt of ze daadwerkelijk de uitvoering van de code zouden hebben voorkomen, maar heeft geen proof of concept gemaakt om aan te tonen. Ingenico zei dat het "gezien het ongemak en de impact voor onze klanten" toch een oplossing uitvaardigde.
Verifone zei dat het de kwetsbaarheden in het verkooppunt in 2018 had gevonden en opgelost voordat ze werden gemeld, hoewel dit alleen maar laat zien dat deze apparaten nooit worden bijgewerkt. Rodriguez zegt dat hij vorig jaar zijn NFC-aanvallen op een Verifone-apparaat in een restaurant heeft getest en heeft vastgesteld dat het nog steeds kwetsbaar is.
"Deze kwetsbaarheden zijn al jaren aanwezig in de firmware en we gebruiken deze apparaten dagelijks om met onze creditcards en ons geld om te gaan," zegt Rodriguez. "Ze moeten beveiligd worden." Rodriguez is van plan de komende weken technische details van deze kwetsbaarheden te delen in een webinar.