Pametni telefoni z omogočeno tehnologijo NFC so raziskovalcem omogočili vdor v sisteme prodajnih mest in bankomatov ter pridobili izvajanje kode po meri na nekaterih od njih.
Kljub temu, da so bankomati eden od edinih načinov za dvig denarja s svojega bančnega računa na poti, so imeli bankomati v preteklih letih številne varnostne težave. Celo zdaj hekerju nič ne preprečuje, da ne bi na bankomatu namestil posnemovalnika kartic, saj večina ljudi ne bo nikoli opazila, da je tam. Seveda je bilo v preteklih letih tudi veliko drugih napadov, ki so bili bolj zapleteni od tega, a na splošno morate biti pri uporabi bankomata vedno previdni. Zdaj obstaja nov način za vdor v bankomat in vse, kar potrebuje, je pametni telefon z NFC.
Kot Žično poročila, Josep Rodriguez je raziskovalec in svetovalec pri IOActive, varnostnem podjetju s sedežem v Seattlu v Washingtonu, zadnje leto pa je preživel v iskanju ranljivosti v čitalnikih NFC, ki se uporabljajo v bankomatih in sistemih na prodajnih mestih. Številni bankomati po vsem svetu vam omogočajo, da se dotaknete svoje debetne ali kreditne kartice, da nato vnesete kodo PIN in dvignete gotovino, namesto da bi jo morali vstaviti v sam bankomat. Čeprav je bolj priročen, se z njim tudi izognemo težavi fizičnega skimmerja kartice, ki je prisoten nad čitalnikom kartic. Brezstično plačevanje na sistemih prodajnih mest je prav tako vseprisotno na tej točki.
Vdiranje v čitalnike NFC
Rodriquez je zgradil aplikacijo za Android, ki njegovemu telefonu omogoča posnemanje komunikacije s kreditno kartico in izkoriščanje napak v strojni programski opremi sistemov NFC. Z mahanjem s telefonom nad bralnikom NFC lahko združi več podvigov za zrušitev naprav na prodajnem mestu, vdor vnje za zbiranje in prenos podatkov o kartici, spreminjanje vrednosti transakcij in celo zaklepanje naprav s sporočilom izsiljevalske programske opreme.
Poleg tega Rodriguez pravi, da lahko celo prisili vsaj eno neimenovano znamko bankomata, da izda gotovino, čeprav deluje le v kombinaciji z napakami, ki jih je našel v programski opremi bankomata. To se imenuje "jackpotting", za katerega je kriminalci v preteklih letih poskušali pridobiti dostop do bankomata na številne načine, da bi ukradli gotovino. Zaradi dogovorov o nerazkritju podatkov s prodajalci bankomatov ni želel navesti blagovne znamke ali metod.
"Lahko spremenite strojno programsko opremo in spremenite ceno na en dolar, na primer, tudi ko je na zaslonu prikazano, da plačujete 50 dolarjev. Napravo lahko naredite neuporabno ali pa namestite neke vrste izsiljevalsko programsko opremo. Tu je veliko možnosti,« pravi Rodriguez o napadih na prodajna mesta, ki jih je odkril. "Če napad povežete v verigo in pošljete tudi poseben tovor v računalnik bankomata, lahko na bankomatu dobite dobiček - kot izplačilo, samo s pritiskom na telefon."
Vir: Josep Rodriguez
Med prizadetimi ponudniki so ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo in neimenovani prodajalec bankomatov, vsi pa so bili obveščeni med 7 meseci in pred enim letom. Vendar pa večina sistemov na prodajnih mestih ne prejema posodobitev programske opreme ali pa jih redko, in verjetno mnogi od njih za to potrebujejo fizični dostop. Zato je verjetno, da mnogi od njih ostajajo ranljivi. "Fizično popravljanje toliko sto tisoč bankomatov je nekaj, kar bi zahtevalo veliko časa," Rodriguez pravi.
Da bi prikazal ranljivosti, je Rodriguez delil video z Žično prikazuje ga, kako maha s pametnim telefonom nad bralnikom NFC bankomata v Madridu, zaradi česar naprava prikaže sporočilo o napaki. Napada jackpottinga ni pokazal, saj ga je lahko zakonito preizkusil le na strojih, pridobljenih v okviru varnostnega svetovanja IOActive, kar bi nato kršilo njihovo pogodbo o nerazkritju podatkov. je vprašal Rodriguez Žično da videoposnetka ne objavi zaradi strahu pred pravno odgovornostjo.
Ugotovitve so "odlična raziskava ranljivosti programske opreme, ki se izvaja na vgrajenih napravah," pravi Karsten Nohl, ustanovitelj varnostnega podjetja SRLabs in heker strojne programske opreme, ki je pregledal Rodriguezovo delo. Nohl je tudi omenil, da obstaja nekaj pomanjkljivosti za tatove v resničnem svetu, vključno s tem, da je vdrl NFC reader bi napadalcu omogočil samo krajo podatkov o kreditni kartici mag stripe, ne pa kode PIN ali podatkov iz EMV čips. Napad jackpota na bankomatu zahteva tudi ranljivost v programski opremi bankomata, kar je velika ovira.
Kljub temu je pridobitev dostopa za izvajanje kode na teh napravah velika varnostna napaka sama po sebi in je pogosto prva vstopna točka v kateri koli sistem, tudi če ne gre za več kot dostop na ravni uporabnika. Ko premagate zunanjo plast varnosti, se pogosto zgodi, da notranji programski sistemi niso niti približno tako varni.
Direktor in glavni znanstvenik Red Balloon Ang Cui je bil navdušen nad ugotovitvami. "Mislim, da je zelo verjetno, da ko imate izvajanje kode na kateri koli od teh naprav, boste lahko dobili prav do glavnega krmilnika, ker je ta stvar polna ranljivosti, ki niso bile odpravljene že več kot desetletje,« Cui pravi. "Od tam," dodaja, "lahko popolnoma nadzorujete podajalnik kaset" ki hrani in izdaja gotovino uporabnikom.
Izvedba kode po meri
Zmožnost izvajanja kode po meri na katerem koli stroju je velika ranljivost in daje napadalcu možnost, da preišče osnovne sisteme v stroju, da bi našel več ranljivosti. Nintendo 3DS je odličen primer tega: igra, imenovana Kubični nindža je bil znan kot eden najzgodnejših načinov za izkoriščanje 3DS in izvajanje homebrew. Izkoriščanje, poimenovano "Ninjhax", je povzročilo prekoračitev medpomnilnika, ki je sprožila izvajanje kode po meri. Medtem ko je imela igra sama dostop do sistema samo na ravni uporabnika, je Ninjhax postal osnova za nadaljnje izkoriščanje za izvajanje programske opreme po meri na 3DS.
Če poenostavimo: prekoračitev medpomnilnika se sproži, ko količina poslanih podatkov preseže dodeljeno shrambo za te podatke, kar pomeni, da se presežni podatki nato shranijo v sosednja področja pomnilnika. Če lahko sosednje pomnilniško območje izvaja kodo, lahko napadalec to zlorabi, da zapolni medpomnilnik z odpadnih podatkov in nato na njihov konec pripni izvršljivo kodo, kjer bo prebrana v sosednje spomin. Vsi napadi prekoračitve medpomnilnika ne morejo izvesti kode in mnogi bodo preprosto zrušili program ali povzročili nepričakovano vedenje. Na primer, če lahko polje sprejme samo 8 bajtov podatkov in je napadalec prisilil vnos 10 bajtov, potem bi se dodatna 2 bajta na koncu prelila v drugo področje pomnilnika.
Preberite več: "PSA: Če vaš računalnik uporablja Linux, posodobite Sudo zdaj"
Rodriguez ugotavlja, da so možni napadi prekoračitve medpomnilnika na bralnike NFC in naprave na prodajnem mestu, saj je v zadnjem letu veliko teh kupil na eBayu. Poudaril je, da je veliko od njih imelo isto varnostno napako: niso preverili velikosti podatkov, poslanih prek NFC s kreditne kartice. Izdelava aplikacije, ki je pošiljala podatke stokrat večje od pričakovanj bralnika, je lahko sprožila prekoračitev medpomnilnika.
Kdaj Žično se je za komentar obrnil na prizadeta podjetja, ID Tech, BBPOS in Nexgo pa se niso odzvali na zahteve za komentar. Združenje ATM Industry Association prav tako ni želelo komentirati. Ingenico je v izjavi odgovoril, da so varnostne ublažitve pomenile, da bi lahko Rodriguezova prekoračitev medpomnilnika le zrušila naprave, ne pa tudi izvajanja kode po meri. Rodriguez dvomi, da bi dejansko preprečili izvajanje kode, vendar ni ustvaril dokaza koncepta, ki bi ga dokazal. Ingenico je dejal, da "glede na nevšečnosti in posledice za naše stranke" vseeno izda popravek.
Verifone je dejal, da je našel in odpravil ranljivosti prodajnih mest leta 2018, preden so bile prijavljene, čeprav to samo kaže, kako se te naprave nikoli ne posodobijo. Rodriguez pravi, da je lani preizkusil svoje napade NFC na napravi Verifone v restavraciji in ugotovil, da je še vedno ranljiva.
"Te ranljivosti so v vdelani programski opremi prisotne že leta in te naprave dnevno uporabljamo za upravljanje naših kreditnih kartic, našega denarja," Rodriguez pravi. "Treba jih je zavarovati." Rodriguez namerava deliti tehnične podrobnosti teh ranljivosti na spletnem seminarju v prihodnjih tednih.