IOAktiv sikkerhetsforsker Josep Rodriquez har advart om at NFC-leserne som brukes i mange moderne minibanker og salgssteder gir dem sårbare for angrep, rapporterer Wired. Feilene gjør dem sårbare for en rekke problemer, inkludert å bli krasjet av en nærliggende NFC-enhet, låst ned som en del av et ransomware-angrep, eller til og med hacket for å trekke ut visse kredittkortdata.
Rodriquez advarer til og med at sårbarhetene kan brukes som en del av et såkalt “jackpotting” -angrep for å lure en maskin til å spytte ut penger. Imidlertid er et slikt angrep bare mulig når det er parret med utnyttelse av ekstra feil, og Wired sier at det ikke var i stand til å se en video av et slikt angrep på grunn av IOActives konfidensialitetsavtale med den berørte minibankleverandøren.
En video viste ham krasjer en minibank ute i naturen
Ved å stole på sårbarheter i maskinens NFC-lesere, er Rodriquez-hack relativt enkle å utføre. Mens noen tidligere angrep har vært avhengige av å bruke enheter som medisinske endoskoper for å undersøke maskiner, kan Rodriquez ganske enkelt vifte med en Android-telefon som kjører programvaren sin foran NFC-leseren på en maskin for å utnytte eventuelle sårbarheter.
I en video som deles med Wired, får Rodriquez en minibank i Madrid til å vise en feilmelding, ganske enkelt ved å vinke smarttelefonen sin over NFC-leseren. Maskinen reagerte da ikke på ekte kredittkort som ble holdt opp mot leseren.
Forskningen fremhever et par store problemer med systemene. Den første er at mange av NFC-leserne er sårbare for relativt enkle angrep, rapporterer Wired. I noen tilfeller verifiserer leserne for eksempel ikke hvor mye data de mottar, noe som betyr at Rodriquez var i stand til å overvelde systemet med for mye data og ødelegge minnet som en del av et “bufferoverløp” -angrep.
Det andre problemet er at selv når et problem er identifisert, kan bedrifter være treg med å bruke en lapp på hundretusenvis av maskiner i bruk over hele verden. Ofte trenger en maskin fysisk besøk for å bruke en oppdatering, og mange mottar ikke vanlige sikkerhetsoppdateringer. Et selskap sa for eksempel at problemet Rodriquez har fremhevet ble lappet i 2018, men forskeren sier at han var i stand til å bekrefte at angrepet fungerte på en restaurant i 2020.
Rodriguez planlegger å presentere sine funn som en del av et webinar de neste ukene for å markere det han sier er dårlige sikkerhetstiltak for innebygde enheter.