Beveiligingsonderzoeker slaat alarm over kwetsbaarheden van ATM NFC-lezer

0
67

IOActive-beveiligingsonderzoeker Josep Rodriquez heeft gewaarschuwd dat de NFC-lezers die in veel moderne geldautomaten en kassasystemen worden gebruikt, hen kwetsbaar maken voor aanvallen, meldt Wired. De gebreken maken ze kwetsbaar voor een reeks problemen, waaronder crashen door een NFC-apparaat in de buurt, vergrendeld worden als onderdeel van een ransomware-aanval of zelfs gehackt worden om bepaalde creditcardgegevens te extraheren.

Rodriquez waarschuwt zelfs dat de kwetsbaarheden kunnen worden gebruikt als onderdeel van een zogenaamde “jackpotting” -aanval om een ​​machine te misleiden om contant geld uit te spugen. Een dergelijke aanval is echter alleen mogelijk wanneer deze gepaard gaat met exploits van extra bugs, en Wired zegt dat het geen video van een dergelijke aanval kon bekijken vanwege de vertrouwelijkheidsovereenkomst van IOActive met de betrokken geldautomaatleverancier.

Een video toonde hem. een geldautomaat in het wild laten crashen

Door te vertrouwen op kwetsbaarheden in de NFC-lezers van de machines, zijn de hacks van Rodriquez relatief eenvoudig uit te voeren. Terwijl sommige eerdere aanvallen vertrouwden op het gebruik van apparaten zoals medische endoscopen om machines te onderzoeken, kan Rodriquez eenvoudig een Android-telefoon met zijn software voor de NFC-lezer van een machine zwaaien om eventuele kwetsbaarheden te misbruiken.

In een video gedeeld met Wired zorgt Rodriquez ervoor dat een geldautomaat in Madrid een foutmelding weergeeft, simpelweg door met zijn smartphone over de NFC-lezer te zwaaien. De machine reageerde vervolgens niet meer op echte creditcards die tegen de lezer werden gehouden.

Het onderzoek wijst op een aantal grote problemen met de systemen. De eerste is dat veel van de NFC-lezers kwetsbaar zijn voor relatief eenvoudige aanvallen, meldt Wired. In sommige gevallen controleren de lezers bijvoorbeeld niet hoeveel gegevens ze ontvangen, wat betekent dat Rodriquez het systeem kon overstelpen met te veel gegevens en het geheugen corrumpeerde als onderdeel van een “bufferoverloop”-aanval.

Het tweede probleem is dat zelfs als een probleem eenmaal is geïdentificeerd, bedrijven traag kunnen zijn met het toepassen van een patch op de honderdduizenden machines die over de hele wereld in gebruik zijn. Vaak moet een machine fysiek worden bezocht om een ​​update toe te passen, en velen ontvangen geen reguliere beveiligingspatches. Een bedrijf zei dat het probleem dat Rodriquez naar voren had gebracht in 2018 was gepatcht, maar de onderzoeker zegt dat hij kon verifiëren dat de aanval in 2020 in een restaurant werkte.

Rodriguez is van plan om presenteer zijn bevindingen als onderdeel van een webinar in de komende weken om te benadrukken wat volgens hem de slechte beveiligingsmaatregelen van embedded apparaten zijn.