Smartfony z włączoną funkcją NFC umożliwiły badaczom włamanie się do systemów punktów sprzedaży i bankomatów, uzyskując w niektórych z nich wykonanie niestandardowego kodu.
Pomimo tego, że bankomaty są jednym z niewielu sposobów na wypłatę pieniędzy z konta bankowego w drodze, przez lata bankomaty notorycznie borykały się z wieloma problemami związanymi z bezpieczeństwem. Nawet teraz nic nie stoi na przeszkodzie, aby haker umieścił skimmer kart w bankomacie, ponieważ większość ludzi nigdy nie zauważy, że tam jest. Oczywiście na przestrzeni lat miało miejsce także wiele innych bardziej złożonych ataków, ale ogólnie rzecz biorąc, podczas korzystania z bankomatu należy zawsze zachować ostrożność. Teraz istnieje nowy sposób na zhakowanie bankomatu, do którego wystarczy smartfon z NFC.
Jak Przewodowy raporty, Josepa Rodrigueza jest badaczem i konsultantem w IOActive, firmie zajmującej się bezpieczeństwem z siedzibą w Seattle w stanie Waszyngton. Ostatni rok spędził na poszukiwaniu luk w czytnikach NFC używanych w bankomatach i systemach punktów sprzedaży. Wiele bankomatów na całym świecie pozwala na dotknięcie karty debetowej lub kredytowej w celu wprowadzenia kodu PIN i wypłacenia gotówki, zamiast wymagać włożenia jej do samego bankomatu. Chociaż jest to wygodniejsze, rozwiązuje również problem obecności fizycznego skimmera nad czytnikiem kart. W tym momencie wszechobecne są również płatności zbliżeniowe w systemach punktów sprzedaży.
Hakowanie czytników NFC
Rodriquez stworzył aplikację na Androida, która umożliwia jego telefonowi naśladowanie komunikacji za pomocą karty kredytowej i wykorzystywanie błędów w oprogramowaniu sprzętowym systemów NFC. Machając telefonem nad czytnikiem NFC, może połączyć wiele exploitów, aby spowodować awarię urządzeń w punktach sprzedaży i zhakować je do gromadzenia i przesyłania danych kart, zmiany wartości transakcji, a nawet blokowania urządzeń za pomocą komunikatu ransomware.
Co więcej, Rodriguez twierdzi, że może nawet zmusić bankomat do wypłaty gotówki co najmniej jednej nieznanej marki, choć działa to tylko w połączeniu z błędami, które znalazł w oprogramowaniu bankomatu. To się nazywa "jackpotowanie”, w ramach którego przestępcy na przestrzeni lat na wiele sposobów próbowali uzyskać dostęp do bankomatu w celu kradzieży gotówki. Odmówił podania marki ani metod ze względu na umowy o zachowaniu poufności zawarte ze sprzedawcami bankomatów.
„Możesz zmodyfikować oprogramowanie i zmienić cenę na przykład na jednego dolara, nawet jeśli na ekranie widać, że płacisz 50 dolarów. Możesz uczynić urządzenie bezużytecznym lub zainstalować rodzaj oprogramowania ransomware. Możliwości jest tu wiele” mówi Rodriguez o odkrytych przez niego atakach na punkty sprzedaży. „Jeśli połączysz ataki i wyślesz specjalny ładunek do komputera bankomatu, możesz zgarnąć jackpot w bankomacie – na przykład wypłacić gotówkę, po prostu dotykając telefonu”.
Źródło: Josep Rodriguez
Dotknięci dostawcy to między innymi ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo i anonimowy sprzedawca bankomatów, a wszyscy zostali powiadomieni w okresie od 7 miesięcy do roku temu. Jednak większość systemów punktów sprzedaży nie otrzymuje aktualizacji oprogramowania lub robi to rzadko i prawdopodobnie wiele z nich wymaga do tego fizycznego dostępu. Dlatego jest prawdopodobne, że wiele z nich pozostaje bezbronnych. „Fizyczne łatanie setek tysięcy bankomatów wymagałoby dużo czasu” – mówi Rodriguez.
Aby zademonstrować luki, Rodriguez udostępnił film Przewodowy pokazujące, jak macha smartfonem nad czytnikiem NFC bankomatu w Madrycie, co powoduje wyświetlenie przez urządzenie komunikatu o błędzie. Nie pokazał ataku jackpotingowego, ponieważ mógł go legalnie przetestować jedynie na maszynach uzyskanych w ramach doradztwa bezpieczeństwa IOActive, co byłoby wówczas naruszeniem zawartej przez IOActive umowy o zachowaniu poufności. – zapytał Rodriguez Przewodowy nie publikować filmu w obawie przed odpowiedzialnością prawną.
Ustalenia są „doskonałe badania nad podatnością oprogramowania działającego na urządzeniach wbudowanych” mówi Karsten Nohl, założyciel firmy zajmującej się bezpieczeństwem SRLabs i haker oprogramowania sprzętowego, który recenzował pracę Rodrigueza. Nohl wspomniał również, że złodziei w prawdziwym świecie mają kilka wad, w tym zhakowaną technologię NFC czytnik pozwoliłby atakującemu jedynie na kradzież danych karty kredytowej z paskiem magnetycznym, a nie kodu PIN lub danych z EMV frytki. Atak jackpot na bankomat wymaga również luki w oprogramowaniu bankomatu, co stanowi dużą barierę.
Mimo to uzyskanie dostępu w celu wykonania kodu na tych maszynach samo w sobie jest poważną luką w zabezpieczeniach i często stanowi pierwszy punkt wejścia do dowolnego systemu, nawet jeśli jest to jedynie dostęp na poziomie użytkownika. Kiedy już ominiesz zewnętrzną warstwę zabezpieczeń, często zdarza się, że wewnętrzne systemy oprogramowania nie są wcale tak bezpieczne.
Dyrektor naczelny i główny naukowiec Red Balloon Ang Cui był pod wrażeniem odkrycia. „Myślę, że to bardzo prawdopodobne, że po wykonaniu kodu na którymkolwiek z tych urządzeń powinieneś być w stanie uzyskać bezpośrednio do głównego kontrolera, ponieważ jest on pełen luk, które nie zostały naprawione od ponad roku dekada," Cui mówi. "Stamtąd," dodaje, „możesz całkowicie kontrolować dyspenser kasetowy” który przechowuje i udostępnia środki pieniężne użytkownikom.
Wykonanie niestandardowego kodu
Główną luką jest możliwość wykonania niestandardowego kodu na dowolnym komputerze, która umożliwia osobie atakującej zbadanie podstawowych systemów komputera w celu znalezienia większej liczby luk. Nintendo 3DS jest tego doskonałym przykładem: gra o nazwie Kubiczny Ninja był jednym z najwcześniejszych sposobów wykorzystania 3DS i uruchomienia homebrew. Exploit nazwany „Ninjhax” spowodował przepełnienie bufora, co spowodowało wykonanie niestandardowego kodu. Chociaż sama gra miała dostęp do systemu jedynie na poziomie użytkownika, Ninjhax stał się podstawą dalszych exploitów do uruchamiania niestandardowego oprogramowania sprzętowego na 3DS.
Upraszczając: przepełnienie bufora jest wyzwalane, gdy ilość wysłanych danych przekracza przydzieloną pamięć dla tych danych, co oznacza, że nadmiar danych jest następnie przechowywany w sąsiednich obszarach pamięci. Jeśli sąsiedni obszar pamięci może wykonać kod, atakujący może go wykorzystać do wypełnienia buforu śmieci, a następnie dołącz na końcu kod wykonywalny, gdzie zostanie on wczytany do sąsiedniego pamięć. Nie wszystkie ataki polegające na przepełnieniu bufora mogą spowodować wykonanie kodu, a wiele z nich po prostu powoduje awarię programu lub powoduje nieoczekiwane zachowanie. Na przykład, jeśli pole może pomieścić tylko 8 bajtów danych, a atakujący wymusił wprowadzenie 10 bajtów, wówczas dodatkowe 2 bajty na końcu przepełnią się do innego obszaru pamięci.
Przeczytaj więcej: „PSA: Jeśli na Twoim komputerze działa Linux, powinieneś teraz zaktualizować Sudo”
Rodriguez zauważa, że możliwe są ataki polegające na przepełnieniu bufora na czytniki NFC i urządzenia w punktach sprzedaży, ponieważ w zeszłym roku wiele z nich kupił w serwisie eBay. Zwrócił uwagę, że wiele z nich miało tę samą lukę w zabezpieczeniach: nie sprawdzały rozmiaru danych przesyłanych przez NFC z karty kredytowej. Tworząc aplikację, która wysyłała dane setki razy większe, niż oczekuje czytelnik, możliwe było wywołanie przepełnienia bufora.
Gdy Przewodowy skontaktował się z zainteresowanymi firmami w celu uzyskania komentarza, ID Tech, BBPOS i Nexgo nie odpowiedziały na prośby o komentarz. Stowarzyszenie Przemysłu ATM również odmówiło komentarza. Ingenico odpowiedziało w oświadczeniu, że środki bezpieczeństwa oznaczają, że przepełnienie bufora Rodrigueza może jedynie spowodować awarię urządzeń, a nie uzyskanie wykonania niestandardowego kodu. Rodriguez ma wątpliwości, czy faktycznie zapobiegliby wykonaniu kodu, ale nie stworzył dowodu słuszności koncepcji do wykazania. Ingenico stwierdziło, że „biorąc pod uwagę niedogodności i wpływ na naszych klientów”, i tak wydało poprawkę.
Verifone twierdzi, że znalazło i naprawiło luki w zabezpieczeniach punktów sprzedaży w 2018 r., zanim zostały one zgłoszone, chociaż pokazuje to tylko, że urządzenia te nigdy nie są aktualizowane. Rodriguez twierdzi, że w zeszłym roku przetestował w restauracji ataki NFC na urządzenie Verifone i stwierdził, że nadal jest ono podatne na ataki.
„Te luki występują w oprogramowaniu sprzętowym od lat i codziennie używamy tych urządzeń do obsługi naszych kart kredytowych i pieniędzy” – – mówi Rodriguez. „Trzeba je zabezpieczyć”. Rodriguez planuje udostępnić szczegóły techniczne tych luk podczas seminarium internetowego w nadchodzących tygodniach.