Il ricercatore di sicurezza IOActive Josep Rodriquez ha avvertito che i lettori NFC utilizzati in molti moderni bancomat e sistemi POS li rendono vulnerabili agli attacchi, riporta Wired. I difetti li rendono vulnerabili a una serie di problemi, tra cui essere bloccati da un dispositivo NFC nelle vicinanze, bloccati come parte di un attacco ransomware o persino violati per estrarre determinati dati della carta di credito.
Rodriquez avverte anche che le vulnerabilità potrebbero essere utilizzate come parte di un cosiddetto attacco “jackpotting” per indurre una macchina a sputare denaro. Tuttavia, un tale attacco è possibile solo se associato a exploit di bug aggiuntivi e Wired afferma che non è stato in grado di visualizzare un video di tale attacco a causa dell'accordo di riservatezza di IOActive con il fornitore di ATM interessato.
Un video lo ha mostrato. mandare in crash un bancomat in libertà
Facendo affidamento sulle vulnerabilità nei lettori NFC delle macchine, gli hack di Rodriquez sono relativamente facili da eseguire. Mentre alcuni attacchi precedenti si basavano sull'utilizzo di dispositivi come endoscopi medici per sondare le macchine, Rodriquez può semplicemente agitare un telefono Android che esegue il suo software di fronte al lettore NFC di una macchina per sfruttare eventuali vulnerabilità che potrebbe avere.
In un video condiviso con Wired, Rodriquez fa sì che un bancomat di Madrid visualizzi un messaggio di errore, semplicemente agitando il suo smartphone sul lettore NFC. La macchina quindi non rispondeva alle vere carte di credito mostrate al lettore.
La ricerca evidenzia un paio di grossi problemi con i sistemi. Il primo è che molti dei lettori NFC sono vulnerabili ad attacchi relativamente semplici, riporta Wired. Ad esempio, in alcuni casi i lettori non stanno verificando la quantità di dati che stanno ricevendo, il che significa che Rodriquez è stato in grado di sopraffare il sistema con troppi dati e corromperne la memoria come parte di un attacco “buffer overflow”.
Il secondo problema è che anche una volta identificato un problema, le aziende possono essere lente nell'applicare una patch alle centinaia di migliaia di macchine in uso in tutto il mondo. Spesso è necessario visitare fisicamente una macchina per applicare un aggiornamento e molti non ricevono patch di sicurezza regolari. Una società ha affermato che il problema evidenziato da Rodriquez è stato corretto nel 2018, ad esempio, ma il ricercatore afferma di essere stato in grado di verificare che l'attacco ha funzionato in un ristorante nel 2020.
Rodriguez prevede di presentare le sue scoperte come parte di un webinar nelle prossime settimane per evidenziare quelle che secondo lui sono le scarse misure di sicurezza dei dispositivi incorporati.