Istraživač uspio da hakuje bankomate koristeći NFC i Android aplikaciju

Svijet

Mnogi su vjerovatno maštali o tome kako da iz bankomata izvuku više novca nego što imaju na bankovnim računima.

Sve što je trebalo je da iskoristi deset godina staru softversku ranjivost i mahne telefonom

Neki su čak uspješno pokušali sve vrste metoda za eksploataciju bankomata fizičkim petljanjem oko hardvera mašina. Ali sada je istraživač uspio da hakuje bankomate i druge POS-mašine, tako što je jednostavno prešao telefonom preko beskontaktnog čitača kartica. Prema Wired portalu, Joseph Rodriguez, savjetnik za bezbjednost u IOActiveu, uspio je da iskoristi manu u NFC sistemu bankomata i POS sistema koji se nalaze u tržnim centrima, restoranima i maloprodajnim prodavnicama.

Koristio je telefon sa NFC-om i Android aplikaciju koju je dizajnirao da zarazi čipove NFC čitača ovih mašina raznim greškama da bi ih srušio, hakovao da bi prikupljao podatke o kreditnim karticama, neprimjetno mijenjao vrijednost transakcija, pa čak i da na nekim bankomatima dobije „džekpot ” u vidu prosipanja gotovine. Međutim, posljednja eksploatacija takođe je zahtijevala manipulaciju postojećim ranjivostima u softveru bankomata.

Rodriguez je započeo svoje istraživanje mogućnosti hakovanja beskontaktnih čitača kartica na bankomatima kupujući NFC čitače i uređaje na prodajnim mestima sa eBay-a. Ubrzo je otkrio da mnogi od njih nisu potvrdili veličinu paketa podataka koji se putem NFC-a šalju sa kreditne kartice u čitač. Koristeći prilagođenu Android aplikaciju, poslao je paket podataka stotinama puta veći od onoga što je mašina očekivala, čime je pokrenuo „buffer overflow“, decenijsku ranjivost softvera koja omogućava napadaču da ošteti memoriju uređaja i pokrene sopstveni kod.

Rodriguez je prije otprilike godinu dana obavijestio pogođene brendove i prodavce o sigurnosnom problemu, ali kaže da je broj uređaja koje treba fizički popraviti ogroman i da će trebati puno vremena. Činjenica da mnogi POS terminali ne dobijaju redovna ažuriranja softvera čini ovu manu još opasnijom. Istraživač je godinu dana skrivao većinu svojih otkrića, ali sada namjerava da podijeli tehničke detalje o njima, kako bi podstakao pogođene prodavce da primijene zakrpe.