В течение многих лет исследователи безопасности и киберпреступники взламывали банкоматы, используя все возможные способы проникновения в их внутренности, от открытия передней панели и вставки флэш-накопителя в порт USB до просверливания отверстия, открывающего доступ к внутренней проводке . Теперь один исследователь обнаружил коллекцию ошибок, которые позволяют ему взламывать банкоматы – наряду с широким спектром торговых терминалов – новым способом: взмахом своего телефона над устройством для чтения бесконтактных кредитных карт.
Хосеп Родригес, исследователь и консультант охранной фирмы IOActive, провел последний год, раскапывая и сообщая об уязвимостях в так называемых микросхемах считывающих устройств ближнего поля, используемых в миллионах банкоматов и торговых точек по всему миру. Системы NFC – это то, что позволяет вам махать кредитной картой над считывателем, а не проводить пальцем или вставлять ее, чтобы произвести платеж или извлечь деньги из банкомата. Вы можете найти их в бесчисленных розничных магазинах и прилавках ресторанов, торговых автоматах, такси и парковочных счетчиках по всему миру.
Теперь Родригес создал приложение для Android, которое позволяет его смартфону имитировать радиосвязь с кредитными картами и использовать недостатки прошивки систем NFC. Взмахнув своим телефоном, он может использовать различные ошибки для сбоя устройств в точках продаж, взламывать их для сбора и передачи данных кредитных карт, незаметно изменять стоимость транзакций и даже блокировать устройства при отображении сообщения о программе-вымогателе. . Родригес говорит, что он может даже заставить по крайней мере одну марку банкоматов выдавать наличные, хотя этот метод «джекпота» работает только в сочетании с дополнительными ошибками, которые, по его словам, он обнаружил в программном обеспечении банкоматов. Он отказался указать или раскрыть эти недостатки публично из-за соглашений о неразглашении с поставщиками банкоматов.
«Вы можете изменить прошивку и изменить цену, например, на один доллар, даже когда на экране отображается, что вы платите 50 долларов. Вы можете сделать устройство бесполезным или установить своего рода программу-вымогатель. Есть много возможностей здесь “, – говорит Родригес об обнаруженных им атаках на торговые точки. «Если вы цепляет атаку и отправляете специальную нагрузку на компьютер банкомата, вы можете получить джекпот в банкомате – например, обналичить деньги, просто нажав на свой телефон».
Родригес говорит, что он предупредил затронутых поставщиков, в том числе ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo и неназванного поставщика банкоматов, о своих выводах между семью месяцами и годом назад. Тем не менее, он предупреждает, что огромное количество затронутых систем и тот факт, что многие торговые терминалы и банкоматы не получают регулярно обновления программного обеспечения – а во многих случаях требуют физического доступа для обновления – означают, что многие из этих устройств, вероятно, остаются уязвимыми. «На то, чтобы починить столько сотен тысяч банкоматов физически, это потребует много времени», – говорит Родригес.
В качестве демонстрации этих сохраняющихся уязвимостей Родригес поделился с WIRED видео, в котором он машет смартфоном над считывателем NFC банкомата на улице в Мадриде, где он живет, и заставляет машину отображать сообщение об ошибке. Считыватель NFC, кажется, дает сбой и больше не читает его кредитную карту, когда он в следующий раз прикасается к ней к устройству. (Родригес попросил WIRED не публиковать видео из опасения юридической ответственности. Он также не предоставил видеодемонстрацию атаки с джекпотом, потому что, по его словам, он мог легально протестировать ее только на машинах, полученных в рамках консультаций IOActive по безопасности с затронутого поставщика банкоматов, с которым IOActive подписала соглашение о неразглашении.)
Полученные результаты представляют собой «отличное исследование уязвимости программного обеспечения, работающего на встроенных устройствах», – говорит Карстен Ноль, основатель охранной фирмы SRLabs и известный хакер микропрограмм, который изучал работу Родригеса. Но Ноль указывает на несколько недостатков, которые снижают его практичность для реальных воров. Взломанный считыватель NFC сможет украсть только данные кредитной карты с магнитной полосой, но не ПИН-код жертвы или данные с чипов EMV. И тот факт, что трюк с обналичиванием банкоматов потребует дополнительной, отчетливой уязвимости в коде целевого банкомата, является немалым предостережением, говорит Нол.
Но исследователи в области безопасности, такие как покойный хакер IOActive Барнаби Джек и команда Red Balloon Security, в течение многих лет могли обнаруживать эти уязвимости банкоматов и даже показали, что хакеры могут запускать джекпот в банкоматах удаленно.. Генеральный директор и главный научный сотрудник Red Balloon Анг Цуй говорит, что он впечатлен результатами Родригеса и не сомневается в том, что взлом считывающего устройства NFC может привести к выдаче наличных во многих современных банкоматах, несмотря на то, что IOActive утаивает некоторые подробности своей атаки. «Я думаю, очень вероятно, что после выполнения кода на любом из этих устройств вы сможете сразу перейти к главному контроллеру, потому что он полон уязвимостей, которые не исправлялись более десяти лет», – сказал Куи. говорит. «Отсюда, – добавляет он, – вы можете полностью контролировать кассетный диспенсер», который хранит и выдает наличные деньги пользователям.
Родригес, который годами тестировал безопасность банкоматов в качестве консультанта, говорит, что год назад он начал изучать, могут ли считыватели бесконтактных карт банкоматов, которые чаще всего продаются фирмой ID Tech, занимающейся платежными технологиями, служить средством их взлома. Он начал покупать считыватели NFC и устройства для точек продаж на eBay и вскоре обнаружил, что многие из них страдают той же проблемой безопасности: они не проверяли размер пакета данных, отправленного через NFC с кредитной карты на считыватель, известный как блок данных протокола приложения или APDU.
Используя специальное приложение для отправки тщательно созданного APDU со своего телефона Android с поддержкой NFC, который в сотни раз больше, чем ожидает читатель, Родригес смог вызвать «переполнение буфера», тип уязвимости программного обеспечения десятилетней давности, который позволяет хакер, чтобы повредить память целевого устройства и запустить свой собственный код.
Когда WIRED обратился к затронутым компаниям, ID Tech, BBPOS и Nexgo не ответили на запросы о комментариях, а Ассоциация индустрии банкоматов от комментариев отказалась. Ingenico ответила заявлением, что из-за мер безопасности метод переполнения буфера Родригеса мог только привести к сбою его устройств, но не к выполнению кода на них, но что, «учитывая неудобства и последствия для наших клиентов», он все равно выпустил исправление. (Родригес возражает, что сомневается в том, что средства защиты Ingenico действительно предотвратят выполнение кода, но на самом деле он не создал доказательство концепции, чтобы продемонстрировать это.)
Verifone, со своей стороны, заявила, что обнаружила и устранила уязвимости точек продаж, которые Родригес указал в 2018 году, задолго до того, как он сообщил о них. Но Родригес утверждает, что это только демонстрирует отсутствие последовательной установки исправлений на устройствах компании; он говорит, что в прошлом году протестировал свои методы NFC на устройстве Verifone в ресторане и обнаружил, что оно остается уязвимым.
Храня многие из своих выводов в тайне в течение года, Родригес планирует в ближайшие недели поделиться техническими подробностями об уязвимостях на веб-семинаре, отчасти для того, чтобы подтолкнуть клиентов затронутых поставщиков к внедрению исправлений, которые предоставили компании. Но он также хочет привлечь внимание к плачевному состоянию безопасности встроенных устройств в более широком смысле. Он был шокирован, обнаружив, что такие простые уязвимости, как переполнение буфера, сохраняются во многих широко используемых устройствах, не менее, чем в тех, которые обрабатывают наличные деньги и конфиденциальную финансовую информацию.
«Эти уязвимости присутствуют в прошивках в течение многих лет, и мы ежедневно используем эти устройства для обработки наших кредитных карт и наших денег», – говорит он. «Их нужно обезопасить».
Хосеп Родригес, исследователь и консультант охранной фирмы IOActive, провел последний год, раскапывая и сообщая об уязвимостях в так называемых микросхемах считывающих устройств ближнего поля, используемых в миллионах банкоматов и торговых точек по всему миру. Системы NFC – это то, что позволяет вам махать кредитной картой над считывателем, а не проводить пальцем или вставлять ее, чтобы произвести платеж или извлечь деньги из банкомата. Вы можете найти их в бесчисленных розничных магазинах и прилавках ресторанов, торговых автоматах, такси и парковочных счетчиках по всему миру.
Теперь Родригес создал приложение для Android, которое позволяет его смартфону имитировать радиосвязь с кредитными картами и использовать недостатки прошивки систем NFC. Взмахнув своим телефоном, он может использовать различные ошибки для сбоя устройств в точках продаж, взламывать их для сбора и передачи данных кредитных карт, незаметно изменять стоимость транзакций и даже блокировать устройства при отображении сообщения о программе-вымогателе. . Родригес говорит, что он может даже заставить по крайней мере одну марку банкоматов выдавать наличные, хотя этот метод «джекпота» работает только в сочетании с дополнительными ошибками, которые, по его словам, он обнаружил в программном обеспечении банкоматов. Он отказался указать или раскрыть эти недостатки публично из-за соглашений о неразглашении с поставщиками банкоматов.
«Вы можете изменить прошивку и изменить цену, например, на один доллар, даже когда на экране отображается, что вы платите 50 долларов. Вы можете сделать устройство бесполезным или установить своего рода программу-вымогатель. Есть много возможностей здесь “, – говорит Родригес об обнаруженных им атаках на торговые точки. «Если вы цепляет атаку и отправляете специальную нагрузку на компьютер банкомата, вы можете получить джекпот в банкомате – например, обналичить деньги, просто нажав на свой телефон».
Родригес говорит, что он предупредил затронутых поставщиков, в том числе ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo и неназванного поставщика банкоматов, о своих выводах между семью месяцами и годом назад. Тем не менее, он предупреждает, что огромное количество затронутых систем и тот факт, что многие торговые терминалы и банкоматы не получают регулярно обновления программного обеспечения – а во многих случаях требуют физического доступа для обновления – означают, что многие из этих устройств, вероятно, остаются уязвимыми. «На то, чтобы починить столько сотен тысяч банкоматов физически, это потребует много времени», – говорит Родригес.
В качестве демонстрации этих сохраняющихся уязвимостей Родригес поделился с WIRED видео, в котором он машет смартфоном над считывателем NFC банкомата на улице в Мадриде, где он живет, и заставляет машину отображать сообщение об ошибке. Считыватель NFC, кажется, дает сбой и больше не читает его кредитную карту, когда он в следующий раз прикасается к ней к устройству. (Родригес попросил WIRED не публиковать видео из опасения юридической ответственности. Он также не предоставил видеодемонстрацию атаки с джекпотом, потому что, по его словам, он мог легально протестировать ее только на машинах, полученных в рамках консультаций IOActive по безопасности с затронутого поставщика банкоматов, с которым IOActive подписала соглашение о неразглашении.)
Полученные результаты представляют собой «отличное исследование уязвимости программного обеспечения, работающего на встроенных устройствах», – говорит Карстен Ноль, основатель охранной фирмы SRLabs и известный хакер микропрограмм, который изучал работу Родригеса. Но Ноль указывает на несколько недостатков, которые снижают его практичность для реальных воров. Взломанный считыватель NFC сможет украсть только данные кредитной карты с магнитной полосой, но не ПИН-код жертвы или данные с чипов EMV. И тот факт, что трюк с обналичиванием банкоматов потребует дополнительной, отчетливой уязвимости в коде целевого банкомата, является немалым предостережением, говорит Нол.
Но исследователи в области безопасности, такие как покойный хакер IOActive Барнаби Джек и команда Red Balloon Security, в течение многих лет могли обнаруживать эти уязвимости банкоматов и даже показали, что хакеры могут запускать джекпот в банкоматах удаленно.. Генеральный директор и главный научный сотрудник Red Balloon Анг Цуй говорит, что он впечатлен результатами Родригеса и не сомневается в том, что взлом считывающего устройства NFC может привести к выдаче наличных во многих современных банкоматах, несмотря на то, что IOActive утаивает некоторые подробности своей атаки. «Я думаю, очень вероятно, что после выполнения кода на любом из этих устройств вы сможете сразу перейти к главному контроллеру, потому что он полон уязвимостей, которые не исправлялись более десяти лет», – сказал Куи. говорит. «Отсюда, – добавляет он, – вы можете полностью контролировать кассетный диспенсер», который хранит и выдает наличные деньги пользователям.
Родригес, который годами тестировал безопасность банкоматов в качестве консультанта, говорит, что год назад он начал изучать, могут ли считыватели бесконтактных карт банкоматов, которые чаще всего продаются фирмой ID Tech, занимающейся платежными технологиями, служить средством их взлома. Он начал покупать считыватели NFC и устройства для точек продаж на eBay и вскоре обнаружил, что многие из них страдают той же проблемой безопасности: они не проверяли размер пакета данных, отправленного через NFC с кредитной карты на считыватель, известный как блок данных протокола приложения или APDU.
Используя специальное приложение для отправки тщательно созданного APDU со своего телефона Android с поддержкой NFC, который в сотни раз больше, чем ожидает читатель, Родригес смог вызвать «переполнение буфера», тип уязвимости программного обеспечения десятилетней давности, который позволяет хакер, чтобы повредить память целевого устройства и запустить свой собственный код.
Когда WIRED обратился к затронутым компаниям, ID Tech, BBPOS и Nexgo не ответили на запросы о комментариях, а Ассоциация индустрии банкоматов от комментариев отказалась. Ingenico ответила заявлением, что из-за мер безопасности метод переполнения буфера Родригеса мог только привести к сбою его устройств, но не к выполнению кода на них, но что, «учитывая неудобства и последствия для наших клиентов», он все равно выпустил исправление. (Родригес возражает, что сомневается в том, что средства защиты Ingenico действительно предотвратят выполнение кода, но на самом деле он не создал доказательство концепции, чтобы продемонстрировать это.)
Verifone, со своей стороны, заявила, что обнаружила и устранила уязвимости точек продаж, которые Родригес указал в 2018 году, задолго до того, как он сообщил о них. Но Родригес утверждает, что это только демонстрирует отсутствие последовательной установки исправлений на устройствах компании; он говорит, что в прошлом году протестировал свои методы NFC на устройстве Verifone в ресторане и обнаружил, что оно остается уязвимым.
Храня многие из своих выводов в тайне в течение года, Родригес планирует в ближайшие недели поделиться техническими подробностями об уязвимостях на веб-семинаре, отчасти для того, чтобы подтолкнуть клиентов затронутых поставщиков к внедрению исправлений, которые предоставили компании. Но он также хочет привлечь внимание к плачевному состоянию безопасности встроенных устройств в более широком смысле. Он был шокирован, обнаружив, что такие простые уязвимости, как переполнение буфера, сохраняются во многих широко используемых устройствах, не менее, чем в тех, которые обрабатывают наличные деньги и конфиденциальную финансовую информацию.
«Эти уязвимости присутствуют в прошивках в течение многих лет, и мы ежедневно используем эти устройства для обработки наших кредитных карт и наших денег», – говорит он. «Их нужно обезопасить».
