NFC özellikli akıllı telefonlar, araştırmacıların satış noktası sistemlerini ve ATM'leri hacklemesine ve bazılarında özel kod çalıştırma olanağı sağlamasına olanak sağladı.
Hareket halindeyken banka hesabınızdan para çekmenin tek yollarından biri olmasına rağmen, ATM'lerin yıllar içinde çok sayıda güvenlik sorunu yaşadığı biliniyor. Şu anda bile bir bilgisayar korsanının ATM'ye kart kaydırıcı yerleştirmesini engelleyen pek bir şey yok çünkü çoğu insan bunun orada olduğunu asla fark etmeyecek. Elbette yıllar içinde bundan daha karmaşık olan başka saldırılar da olmuştur, ancak genel olarak ATM kullanırken her zaman dikkatli olmalısınız. Artık ATM'yi hacklemenin yeni bir yolu var ve bunun için gereken tek şey NFC'li bir akıllı telefon.
Gibi kablolu raporlar, Josep Rodriguez Seattle, Washington merkezli bir güvenlik firması olan IOActive'de araştırmacı ve danışman olarak çalışıyor ve geçen yılını ATM'lerde ve satış noktası sistemlerinde kullanılan NFC okuyucularındaki güvenlik açıklarını bulmakla geçirdi. Dünyanın her yerindeki birçok ATM, PIN'inizi ATM'nin kendisine takmanızı gerektirmek yerine, banka veya kredi kartınıza dokunarak PIN'inizi girmenize ve nakit çekmenize olanak tanır. Daha kullanışlı olmakla birlikte, kart okuyucu üzerinde fiziksel bir kart skimmer'ın bulunması sorununu da ortadan kaldırır. Satış noktası sistemlerinde temassız ödemeler de bu noktada her yerde mevcuttur.
NFC okuyucularını hacklemek
Rodriquez, telefonuna kredi kartı iletişimlerini taklit etme ve NFC sistemlerinin donanım yazılımındaki kusurlardan yararlanma gücü veren bir Android uygulaması geliştirdi. Telefonunu NFC okuyucu üzerinde sallayarak, satış noktası cihazlarını çökertmek, onları hacklemek için birden fazla açıktan yararlanmayı zincirleyebilir kart verilerini toplayıp iletmek, işlemlerin değerini değiştirmek ve hatta fidye yazılımı mesajıyla cihazları kilitlemek için kullanılabilir.
Dahası Rodriguez, en az bir isimsiz marka ATM'yi nakit dağıtmaya bile zorlayabileceğini, ancak bunun yalnızca ATM yazılımında bulduğu hatalarla birlikte çalıştığını söylüyor. Buna " denirbüyük ikramiye", suçluların yıllar boyunca nakit para çalmak amacıyla bir ATM'ye erişim sağlamak için denediği birçok yol var. ATM satıcılarıyla yapılan gizlilik anlaşmaları nedeniyle markayı veya yöntemleri belirtmeyi reddetti.
"Örneğin, ekran 50 dolar ödediğinizi gösterse bile aygıt yazılımını değiştirebilir ve fiyatı bir dolara değiştirebilirsiniz. Cihazı kullanılamaz hale getirebilir veya bir tür fidye yazılımı yükleyebilirsiniz. Burada birçok olasılık var" Rodriguez keşfettiği satış noktası saldırılarından bahsediyor. "Saldırıyı zincirleme yaparsanız ve aynı zamanda bir ATM'nin bilgisayarına özel bir yük gönderirseniz, sadece telefonunuzu dokunarak ATM'yi nakit çıkışı gibi jackpot'a getirebilirsiniz."
Kaynak: Josep Rodriguez
Etkilenen satıcılar arasında ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo ve adı açıklanmayan bir ATM satıcısı yer alıyor ve bunların tümü 7 ay ila bir yıl önce uyarıldı. Ancak çoğu satış noktası sistemi yazılım güncellemelerini almaz veya nadiren alır ve birçoğunun bunu yapmak için fiziksel erişime ihtiyacı olması muhtemeldir. Bu nedenle birçoğunun savunmasız kalması muhtemeldir. "Yüzbinlerce ATM'ye fiziksel yama uygulamak, çok fazla zaman gerektiren bir şey." Rodriguez diyor.
Güvenlik açıklarını göstermek için Rodriguez bir video paylaştı. kablolu Madrid'deki bir ATM'nin NFC okuyucusu üzerinde akıllı telefonunu sallayarak makinenin bir hata mesajı göstermesine neden olduğunu gösteriyor. İkramiye saldırısını göstermedi çünkü bunu yalnızca IOActive'in güvenlik danışmanlığı kapsamında elde edilen makinelerde yasal olarak test edebilirdi, bu da gizlilik anlaşmasını ihlal ederdi. Rodriguez sordu kablolu Yasal sorumluluk korkusuyla videoyu yayınlamamak.
Bulgular: "Gömülü cihazlarda çalışan yazılımların güvenlik açığına ilişkin mükemmel bir araştırma" Rodriguez'in çalışmalarını inceleyen güvenlik firması SRLabs'ın kurucusu ve ürün yazılımı korsanı Karsten Nohl diyor. Nohl ayrıca gerçek dünyadaki hırsızlar için, saldırıya uğramış bir NFC de dahil olmak üzere birkaç dezavantaj bulunduğunu belirtti. okuyucu, bir saldırganın EMV'den gelen PIN veya verileri değil, yalnızca mag stripe kredi kartı verilerini çalmasına izin verir cips. ATM jackpot saldırısı aynı zamanda ATM donanım yazılımında da büyük bir engel olan bir güvenlik açığı gerektirir.
Yine de, bu makinelerde kod yürütmek için erişim kazanmak, başlı başına büyük bir güvenlik açığıdır ve kullanıcı düzeyinde erişimden daha fazlası olmasa bile genellikle herhangi bir sistemdeki ilk giriş noktasıdır. Dış güvenlik katmanını aştığınızda, çoğu zaman dahili yazılım sistemlerinin o kadar da güvenli olmadığı görülür.
Red Balon CEO'su ve baş bilim adamı Ang Cui, bulgulardan etkilendi. "Bence bu cihazlardan herhangi birinde kod çalıştırdığınızda, doğrudan ana denetleyiciye, çünkü bu şey bir süredir düzeltilmeyen güvenlik açıklarıyla dolu on yıl," Cui diyor. "Buradan," o ekler, "kaset dağıtıcıyı kesinlikle kontrol edebilirsiniz" kullanıcılara nakit tutar ve serbest bırakır.
Özel kod yürütme
Herhangi bir makinede özel kod yürütme yeteneği önemli bir güvenlik açığıdır ve saldırgana, daha fazla güvenlik açığı bulmak için makinedeki temel sistemleri inceleme yeteneği verir. Nintendo 3DS bunun en iyi örneği: adlı bir oyun Kübik Ninja 3DS'den yararlanmanın ve evde bira üretmenin en eski yollarından biriydi. "Ninjhax" olarak adlandırılan bu açık, özel kodun yürütülmesini tetikleyen bir arabellek taşmasına neden oldu. Oyunun kendisi sisteme yalnızca kullanıcı düzeyinde erişime sahipken, Ninjhax, 3DS'de özel aygıt yazılımını çalıştırmaya yönelik diğer istismarların temeli haline geldi.
Basitleştirmek gerekirse: gönderilen verinin hacmi, o veri için ayrılan depolama alanını aştığında bir arabellek taşması tetiklenir; bu, fazla verinin daha sonra bitişik bellek bölgelerinde depolandığı anlamına gelir. Bitişik bir bellek bölgesi kodu çalıştırabiliyorsa, saldırgan bunu kötüye kullanarak arabelleği doldurabilir. çöp verileri ve ardından yürütülebilir kodu bunun sonuna ekleyin, burada bitişik olarak okunacaktır. hafıza. Arabellek taşması saldırılarının tümü kod çalıştıramaz ve çoğu, yalnızca bir programın çökmesine veya beklenmeyen davranışlara neden olur. Örneğin, bir alan yalnızca 8 baytlık veri alabiliyorsa ve saldırgan 10 baytlık girişi zorunlu kılıyorsa, sondaki ilave 2 bayt, belleğin başka bir bölgesine taşacaktır.
Devamını oku: "PSA: Bilgisayarınız Linux çalıştırıyorsa, Sudo'yu şimdi güncellemelisiniz"
Rodriguez, geçen yıl bunların çoğunu eBay'den satın aldığı için NFC okuyuculara ve satış noktası cihazlarına yönelik ara bellek taşması saldırılarının mümkün olduğunu belirtiyor. Birçoğunun aynı güvenlik açığından muzdarip olduğuna dikkat çekti: NFC yoluyla kredi kartından gönderilen verilerin boyutunu doğrulamadılar. Okuyucunun beklediğinden yüzlerce kat daha büyük veri gönderen bir uygulama yapmak, arabellek taşmasını tetiklemek mümkündü.
Ne zaman kablolu Yorum almak için etkilenen şirketlere ulaştı ancak ID Tech, BBPOS ve Nexgo yorum taleplerine yanıt vermedi. ATM Endüstrisi Birliği de yorum yapmaktan kaçındı. Ingenico, güvenlik azaltımlarının, Rodriguez'in arabellek taşmasının yalnızca cihazları çökertebileceği, özel kod yürütmeyi sağlayamayacağı anlamına geldiğini belirten bir açıklamayla yanıt verdi. Rodriguez, kod yürütmeyi gerçekten engelleyebileceklerinden şüpheli, ancak gösterecek bir kavram kanıtı oluşturmadı. Ingenico, "müşterilerimizin yaşadığı rahatsızlık ve etki göz önüne alındığında" yine de bir düzeltme yayınlayacağını söyledi.
Verifone, 2018 yılında satış noktası güvenlik açıklarını rapor edilmeden önce tespit ettiğini ve düzelttiğini söyledi, ancak bu yalnızca bu cihazların nasıl hiçbir zaman güncellenmediğini gösteriyor. Rodriguez, NFC saldırılarını geçen yıl bir restorandaki Verifone cihazında test ettiğini ve cihazın hala savunmasız kaldığını tespit ettiğini söyledi.
"Bu güvenlik açıkları donanım yazılımında yıllardır mevcut ve bu cihazları günlük olarak kredi kartlarımızı ve paramızı yönetmek için kullanıyoruz." Rodriguez diyor. "Güvenlik altına alınmaları gerekiyor." Rodriguez bu güvenlik açıklarının teknik ayrıntılarını önümüzdeki haftalarda bir web seminerinde paylaşmayı planlıyor.