Стало известно о критической уязвимости техники с NFC-модулями
Опубликовал: FIELD LINE, 28-06-2021, 15:13, Железо, 220, 0
Исследователь проблем кибербезопасности из компании IOActive Жозеп Родригес (Josep Rodriquez) предупредил, что устройства для считывания NFC-чипов во многих современных банкоматах и платёжных терминалах уязвимы к атакам, часто — с помощью обычного смартфона.
По словам эксперта, оборудование можно взломать, поднеся смартфон с NFC-модулем к считывателю, заблокировать для дальнейшего использования или даже извлечь информацию об отдельных банковских картах. Родригес уверен, что такие уязвимости также можно использовать как один из элементов «джекпоттинговых» атак, когда машина начинает выдавать наличные злоумышленнику (отмечено, что такие атаки возможны только с использованием в «связке» с другими уязвимостями).
По имеющимся данным, использованные Родригесом уязвимости в NFC-считывателях довольно легко обнаружить и использовать. Для того чтобы использовать дыры в системе безопасности машин достаточно поднести к ним совместимый смартфон на Android, использующий специальное программное обеспечение. На одном из видео Родригес предоставил доказательство, «сломав» банкомат в Мадриде, после чего тот перестал реагировать на настоящие банковские карты.
Исследование выявило пару проблем с NFC-совместимым оборудованием. Во-первых, многие модели считывателей уязвимы к относительно простым атакам. Например, некоторые считыватели не проверяют, как много данных они получают — другими словами, систему можно перегрузить огромным количеством данных для выполнения т. н. атаки «переполнения буфера».
Во-вторых, компании временами очень медленно выпускают патчи для устранения выявленных проблем у сотен тысяч машин, разбросанных по всему миру. Зачастую удалённый доступ к устройству не предусмотрен, и каждую точку необходимо лично посетить для установки ПО — поэтому многие системы не получают регулярных обновлений безопасности. По данным Родригеса, одна из компаний заявила об устранении уязвимости в 2018 году, но эксперт всё ещё смог воспользоваться ей в 2020 году в одном из ресторанов.
В ближайшие недели он намерен поделиться собственным опытом в формате вебинара.
По словам эксперта, оборудование можно взломать, поднеся смартфон с NFC-модулем к считывателю, заблокировать для дальнейшего использования или даже извлечь информацию об отдельных банковских картах. Родригес уверен, что такие уязвимости также можно использовать как один из элементов «джекпоттинговых» атак, когда машина начинает выдавать наличные злоумышленнику (отмечено, что такие атаки возможны только с использованием в «связке» с другими уязвимостями).
По имеющимся данным, использованные Родригесом уязвимости в NFC-считывателях довольно легко обнаружить и использовать. Для того чтобы использовать дыры в системе безопасности машин достаточно поднести к ним совместимый смартфон на Android, использующий специальное программное обеспечение. На одном из видео Родригес предоставил доказательство, «сломав» банкомат в Мадриде, после чего тот перестал реагировать на настоящие банковские карты.
Исследование выявило пару проблем с NFC-совместимым оборудованием. Во-первых, многие модели считывателей уязвимы к относительно простым атакам. Например, некоторые считыватели не проверяют, как много данных они получают — другими словами, систему можно перегрузить огромным количеством данных для выполнения т. н. атаки «переполнения буфера».
Во-вторых, компании временами очень медленно выпускают патчи для устранения выявленных проблем у сотен тысяч машин, разбросанных по всему миру. Зачастую удалённый доступ к устройству не предусмотрен, и каждую точку необходимо лично посетить для установки ПО — поэтому многие системы не получают регулярных обновлений безопасности. По данным Родригеса, одна из компаний заявила об устранении уязвимости в 2018 году, но эксперт всё ещё смог воспользоваться ей в 2020 году в одном из ресторанов.
В ближайшие недели он намерен поделиться собственным опытом в формате вебинара.
