Smartphone-urile cu NFC activat le-au permis cercetătorilor să pirateze sistemele punctelor de vânzare și ATM-urile, obținând execuție de cod personalizat pe unele dintre ele.
În ciuda faptului că sunt una dintre singurele modalități de a scoate bani din contul tău bancar din mers, bancomatele au avut o serie de probleme de securitate de-a lungul anilor. Chiar și acum, nu există multe lucruri care să împiedice un hacker să plaseze un skimmer de card pe un bancomat, deoarece majoritatea oamenilor nu vor observa niciodată că este acolo. Au existat, desigur, și o serie de alte atacuri de-a lungul anilor care sunt mai complexe decât atât, dar, în general, ar trebui să fii întotdeauna atent când folosești un bancomat. Acum există o nouă modalitate de a pirata un bancomat și tot ce are nevoie este un smartphone cu NFC.
La fel de Cablat rapoarte, Josep Rodriguez este cercetător și consultant la IOActive, o firmă de securitate cu sediul în Seattle, Washington, și și-a petrecut ultimul an găsind vulnerabilități în cititoarele NFC utilizate în ATM-uri și sistemele punctelor de vânzare. Multe bancomate din lume vă permit să vă atingeți cardul de debit sau de credit pentru a introduce apoi codul PIN și a retrage numerar, în loc să vă solicitați să îl introduceți în bancomat. Deși este mai convenabil, rezolvă și problema prezentării unui skimmer fizic de carduri peste cititorul de carduri. Plățile fără contact în sistemele de puncte de vânzare sunt, de asemenea, omniprezente în acest moment.
Hacking cititoare NFC
Rodriquez a creat o aplicație pentru Android care oferă telefonului său puterea de a imita comunicațiile cardului de credit și de a exploata defecte în firmware-ul sistemelor NFC. Fluturându-și telefonul peste cititorul NFC, el poate înlănțui mai multe exploit-uri pentru a bloca dispozitivele de la punctul de vânzare, a le pirata pentru a colecta și transmite date de card, pentru a modifica valoarea tranzacțiilor și chiar pentru a bloca dispozitivele cu un mesaj ransomware.
În plus, Rodriguez spune că poate forța chiar și cel puțin o marcă nenumită de ATM-uri să distribuie numerar, deși funcționează doar în combinație cu erorile pe care le-a găsit în software-ul ATM-ului. Aceasta se numește „jackpotting„, pentru care există multe modalități prin care infractorii au încercat de-a lungul anilor să aibă acces la un bancomat pentru a fura numerar. El a refuzat să precizeze marca sau metodele din cauza acordurilor de confidențialitate cu vânzătorii de bancomate.
„Puteți modifica firmware-ul și schimba prețul la un dolar, de exemplu, chiar și atunci când ecranul arată că plătiți 50 de dolari. Puteți face dispozitivul inutil sau puteți instala un fel de ransomware. Există o mulțime de posibilități aici”, spune Rodriguez despre atacurile la punctele de vânzare pe care le-a descoperit. „Dacă înlănțuiți atacul și, de asemenea, trimiteți o sarcină utilă specială la computerul unui bancomat, puteți primi un jackpot la bancomat - cum ar fi scoaterea de bani, doar atingând telefonul dvs.”.
Sursa: Josep Rodriguez
Furnizorii afectați includ ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo și un furnizor de bancomate fără nume, iar toți au fost alertați cu 7 luni și un an în urmă. Cu toate acestea, majoritatea sistemelor de la punctele de vânzare nu primesc actualizări de software sau primesc rar și este probabil ca multe dintre ele să necesite acces fizic pentru a face acest lucru. Prin urmare, este probabil ca mulți dintre ei să rămână vulnerabili. „Corectarea fizică a atâtor sute de mii de bancomate, este ceva care ar necesita mult timp”, spune Rodriguez.
Pentru a demonstra vulnerabilitățile, Rodriguez i-a distribuit un videoclip Cablat arătându-l fluturând un smartphone peste cititorul NFC al unui bancomat din Madrid, făcând ca aparatul să afișeze un mesaj de eroare. El nu a arătat atacul de jackpotting, deoarece putea să-l testeze legal doar pe mașini obținute ca parte a consultanței de securitate a IOActive, ceea ce ar încălca apoi acordul lor de confidențialitate. întrebă Rodriguez Cablat să nu publice videoclipul de teama răspunderii legale.
Constatările sunt „cercetare excelentă asupra vulnerabilității software-ului care rulează pe dispozitive încorporate”, spune Karsten Nohl, fondatorul firmei de securitate SRLabs și firmware-hacker, care a revizuit munca lui Rodriguez. Nohl a menționat, de asemenea, că există câteva dezavantaje pentru hoții din lumea reală, inclusiv faptul că un NFC piratat Reader ar permite unui atacator să fure doar datele cardului de credit cu bandă mag, nu PIN-ul sau datele de la EMV chipsuri. Atacul jackpot-ului ATM necesită, de asemenea, o vulnerabilitate în firmware-ul ATM, care este o barieră mare.
Chiar și totuși, obținerea accesului pentru a executa cod pe aceste mașini este o defecțiune majoră de securitate în sine și este adesea primul punct de intrare în orice sistem, chiar dacă nu este mai mult decât acces la nivel de utilizator. Odată ce depășiți nivelul exterior de securitate, adesea se întâmplă ca sistemele software interne să nu fie nici pe departe la fel de sigure.
CEO-ul Red Balloon și om de știință șef, Ang Cui, a fost impresionat de descoperiri. „Cred că este foarte plauzibil ca odată ce ai executat codul pe oricare dintre aceste dispozitive, să poți obține dreptul la controlerul principal, pentru că acel lucru este plin de vulnerabilități care nu au fost remediate de peste un deceniu," spune Cui. "De acolo," el adauga, „puteți controla absolut dozatorul de casete” care deține și eliberează numerar utilizatorilor.
Executarea codului personalizat
Capacitatea de a executa cod personalizat pe orice mașină este o vulnerabilitate majoră și oferă atacatorului capacitatea de a sonda sistemele subiacente dintr-o mașină pentru a găsi mai multe vulnerabilități. Nintendo 3DS este un prim exemplu în acest sens: un joc numit Cubic Ninja a fost celebru una dintre cele mai timpurii moduri de a exploata 3DS și de a executa homebrew. Exploita-ul, numit „Ninjhax”, a provocat o depășire a memoriei tampon care a declanșat execuția codului personalizat. În timp ce jocul în sine a avut acces la sistem doar la nivel de utilizator, Ninjhax a devenit baza altor exploit-uri pentru rularea firmware-ului personalizat pe 3DS.
Pentru a simplifica: o depășire a memoriei tampon este declanșată atunci când volumul de date trimis depășește spațiul de stocare alocat pentru acele date, ceea ce înseamnă că excesul de date este apoi stocat în regiunile de memorie adiacente. Dacă o regiune de memorie adiacentă poate executa cod, atunci un atacator poate abuza de acest lucru pentru a umple buffer-ul date gunoi, apoi adăugați cod executabil la sfârșitul acestuia, unde va fi citit în adiacent memorie. Nu toate atacurile de buffer overflow pot executa cod și multe pur și simplu vor bloca un program sau vor provoca un comportament neașteptat. De exemplu, dacă un câmp poate prelua doar 8 octeți de date și un atacator a forțat introducerea de 10 octeți, atunci cei 2 octeți suplimentari de la sfârșit ar revărsa în altă regiune a memoriei.
Citește mai mult: „PSA: Dacă computerul tău rulează Linux, ar trebui să actualizezi Sudo acum”
Rodriguez observă că sunt posibile atacuri de depășire a tamponului asupra cititoarelor NFC și a dispozitivelor de la punctul de vânzare, deoarece a cumpărat multe dintre acestea de la eBay în ultimul an. El a subliniat că mulți dintre ei sufereau de același defect de securitate: nu au validat dimensiunea datelor trimise prin NFC de pe un card de credit. Făcând o aplicație care a trimis date de sute de ori mai mari decât se așteaptă cititorul, a fost posibil să declanșeze o depășire a tamponului.
Când Cablat a contactat companiile afectate pentru comentarii, ID Tech, BBPOS și Nexgo nu au răspuns solicitărilor de comentarii. De asemenea, Asociația Industriei ATM a refuzat să comenteze. Ingenico a răspuns într-o declarație că atenuările de securitate înseamnă că depășirea tamponului lui Rodriguez ar putea să blocheze numai dispozitivele, nu să obțină execuția codului personalizat. Rodriguez are îndoieli că ar fi împiedicat de fapt executarea codului, dar nu a creat o dovadă a conceptului pe care să o demonstreze. Ingenico a spus că „ținând cont de neplăcerile și impactul pentru clienții noștri”, emite oricum o remediere.
Verifone a spus că a găsit și a remediat vulnerabilitățile punctului de vânzare în 2018 înainte de a fi raportate, deși acest lucru arată doar că aceste dispozitive nu sunt niciodată actualizate. Rodriguez spune că și-a testat atacurile NFC pe un dispozitiv Verifone la un restaurant anul trecut, constatând că acesta rămâne vulnerabil.
„Aceste vulnerabilități sunt prezente în firmware de ani de zile și folosim aceste dispozitive zilnic pentru a ne gestiona cardurile de credit, banii noștri.” spune Rodriguez. „Trebuie să fie asigurate”. Rodriguez plănuiește să împărtășească detalii tehnice ale acestor vulnerabilități într-un webinar în săptămânile următoare.