Poważna luka w bankomatach i terminalach płatniczych. Wystarczy NFC
Hiszpański badacz odkrył dziurę w oprogramowaniu bankomatów i terminali płatniczych. Można je przejąć za pomocą smartfonu z NFC.
Pracownik zajmującej się cyberbezpieczeństwem firmy IOActive odkrył podatność w oprogramowaniu układowym czytników NFC używanych w bankomatach i terminalach płatniczych w sklepach. Pozwala ona na dokonywanie szeregu manipulacji za pomocą wyposażonego w NFC smartfonu: możliwe jest zmienianie wartości dokonywanych transakcji, wymuszenie wyświetlania dowolnych komunikatów czy całkowite zablokowanie urządzenia. Przy wykorzystaniu dodatkowych podatności występujących w oprogramowaniu niektórych bankomatów, atak z wykorzystaniem NFC pozwala też nakazać maszynie wydanie całej zawartości kasety z pieniędzmi.
Opracowana metoda ataku wykorzystuje mechanizm przepełnienia bufora. Jak odkrył analityk i konsultant IOActive, Joseph Rodriguez, moduły ADPU (Application Protocol Data Unit) w czytnikach NFC nie sprawdzają rozmiaru wysyłanego do nich pakietu danych.
Za pomocą napisanej specjalnie w tym celu aplikacji badacz wysłał do ADPU sfabrykowany w odpowiedni sposób pakiet o objętości 100 razy większej, niż typowe, powodując przepełnienie bufora i umożliwiając wykonanie kodu przygotowanego przez atakującego. Co można zrobić dalej?
"Można zmodyfikować firmware i na przykład zmienić cenę na jednego dolara, chociaż ekran będzie pokazywał, że płacisz 50 dolarów. Można zablokować urządzenie, albo zainstalować coś w rodzaju ransomware. Możliwości jest bardzo wiele" - powiedział Rodriguez w rozmowie dla serwisu Wired. "Jeśli dokonasz ataku łańcuchowo i dodatkowo wyślesz do komputera bankomatu specjalny pakiet kodu, jednym przesunięciem smartfonu możesz spowodować, że bankomat wypłaci wszystkie pieniądze"
Według badacza odkryte przez niego podatności są obecne w oprogramowaniu bankomatów i terminali sklepowych "od lat", a producenci z którymi się kontaktował bagatelizują je, albo twierdzą, że zostały już dawno załatane. Wired zapytał o to firmy, w urządzeniach których zidentyfikowano tą lukę, jednak większość z nich nie odpowiedziała.
Jedynym wyjątkiem była firma Ingenico, która poinformowała dziennikarzy, że ze względu na zabezpieczenia ich terminali atak przepełnienia bufora może spowodować jedynie zawieszenie oprogramowania, ale nie wykonanie zewnętrznego kodu. Mimo to zapowiedzieli wypuszczenie łaty.
Rodriguez zapowiada przedstawienie technicznych szczegółów odkrytej przez siebie podatności w formie webinaru, w ciągu najbliższych tygodni.