Стало відомо про критичну вразливість техніки з NFC-модулями
Дослідник проблем кібербезпеки з компанії IOActive Жозеп Родрігес (Josep Rodriquez) попередив, що пристрої для зчитування NFC-чіпів в багатьох сучасних банкоматах та платіжних терміналах уразливі до атак, часто — за допомогою звичайного смартфона.
За словами експерта, обладнання можна зламати, піднісши смартфон з NFC-модулем до зчитувача, заблокувавши його для подальшого використання або навіть витягти інформацію про окремі банківські картки. Родрігес впевнений, що такі уразливості також можна використовувати як один з елементів «джекпоттінгових» атак, коли машина починає видавати готівку зловмисникові (відзначено, що такі атаки можливі лише з використанням в «зв’язці» з іншими вразливостями в обладнані або в ПЗ).
За наявними даними, використані Родрігесом уразливості у NFC-зчитувача досить легко виявити та використовувати. Для того, щоб використовувати діри в системі безпеки машин досить піднести до них сумісний смартфон на Android, який використовує спеціальне програмне забезпечення. На одному з відео Родрігес надав доказ, «зламавши» банкомат в Мадриді, після чого той перестав реагувати на справжні банківські карти.
Дослідження виявило пару проблем з NFC-сумісним обладнанням. По-перше, багато моделей зчитувачів уразливі до відносно простих атак. Наприклад, деякі зчитувачі не перевіряють, як багато даних вони отримують — іншими словами, систему можна перевантажити величезною кількістю даних для виконання так званої атаки «переповнення буфера».
По-друге, компанії часом дуже повільно випускають патчі для усунення виявлених проблем у сотень тисяч машин, розкиданих по всьому світу. Найчастіше віддалений доступ до пристрою не передбачений, і кожну точку необхідно особисто відвідати спеціалістом для встановлення оновленого ПЗ — тому багато системи не отримують регулярних оновлень безпеки. За даними Родрігеса, одна з компаній заявила про усунення вразливості у 2018 році, але експерт все ще зміг скористатися нею у 2020 році в одному з ресторанів.
У найближчі тижні він має намір поділитися власним досвідом у форматі вебінару.