ru24.pro
Новости по-русски
Календарь
Июнь
2021
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30

Эксперт показал, как уязвимость в NFC позволяет взломать банкоматы и терминалы

0
Trashbox.ru 

Исследователь безопасности компании IOActive Хосеп Родригез (Josep Rodriguez) обнаружил несколько уязвимостей в технологии NFC, которые позволяют взломать банкоматы и платёжные терминалы. Для этого он создал Android-приложение, с помощью которого смартфон имитирует радиосвязь с кредитными картами и использует уязвимости в прошивке систем с поддержкой NFC. По словам Родригеза, он может просто взмахнуть смартфоном и вызвать сбой в работе PoS-терминала, взломать его для получения данных кредитных карт, незаметно изменить сумму транзакций, заблокировать устройство и отобразить на его экране любое сообщение.

Родригез утверждает, что таким способом может заставить банкомат (по крайней мере одного поставщика) выдавать наличные, хотя этот метод работает только в сочетании с дополнительными ошибками в программном обеспечении банкоматов. Он отказался раскрыть уязвимости публично из-за соглашения о неразглашении информации с поставщиками банкоматов. Несколько месяцев назад исследователь оповестил производителей оборудования о найденных уязвимостях, однако тот факт, что многие банкоматы и терминалы не получают регулярного обновления программного обеспечения, говорит об очень серьёзной проблеме. Тем более, что этот процесс требует физического доступа к устройствам, а значит некоторые из них так и останутся уязвимыми.

В качестве демонстрации этих уязвимостей Родригез поделился с изданием WIRED видео, в котором он проводит смартфоном над NFC-считывателем банкомата и вызывает сбой в его работе. После этого банкомат больше не может считать банковскую карту. Родригез является консультантом поставщиков банкоматов и многие годы занимается тестированием их оборудования. Год назад он начал изучать возможности взлома считывателей бесконтактных карт фирмы ID Tech и пришёл к выводу, что многие из них страдают одним и тем же недостатком — они не проверяют размер пакета данных, отправленного через NFC с кредитной карты на ридер (APDU). Созданное им приложение отправляет специальный запрос, который вызывает переполнение буфера.

GIF-анимация доступна по нажатию

Исследователь намерен поделиться техническими подробностями об уязвимостях на вебинаре в ближайшее время. Отчасти для того, чтобы подтолкнуть производителей и поставщиков к внедрению исправлений.