Стало відомо про критичну уразливість техніки з NFC-модулями

Дослідник проблем кібербезпеки з компанії IOActive Жозеп Родрігес (Josep Rodriquez) попередив, що пристрої для зчитування NFC-чіпів в багатьох сучасних банкоматах і платіжних терміналах уразливі до атак, часто — за допомогою звичайного смартфона.

За словами експерта, обладнання можна зламати, піднісши смартфон з NFC-модулем до зчитувача, заблокувати для подальшого використання або навіть витягти інформацію про окремі банківські картки. Родрігес впевнений, що такі уразливості також можна використовувати як один з елементів «джекпоттінгових» атак, коли машина починає видавати готівку зловмисникові (відзначено, що такі атаки можливі лише з використанням в «зв’язці» з іншими уразливими).

За наявними даними, використані Родрігесом уразливості в NFC-зчитувача досить легко виявити і використовувати. Для того щоб використовувати діри в системі безпеки машин досить піднести до них сумісний смартфон на Android, який використовує спеціальне програмне забезпечення. На одному з відео Родрігес надав доказ, «зламавши» банкомат в Мадриді, після чого той перестав реагувати на справжні банківські карти.

Дослідження виявило пару проблем з NFC-сумісним обладнанням. По-перше, багато моделей зчитувачів уразливі до відносно простим атакам. Наприклад, деякі зчитувачі не перевіряють, як багато даних вони отримують — іншими словами, систему можна перевантажити величезною кількістю даних для виконання т. Н. атаки «переповнення буфера».

По-друге, компанії часом дуже повільно випускають патчі для усунення виявлених проблем у сотень тисяч машин, розкиданих по всьому світу. Найчастіше віддалений доступ до пристрою не передбачений, і кожну точку необхідно особисто відвідати для установки ПО — тому багато системи не отримують регулярних оновлень безпеки. За даними Родрігеса, одна з компаній заявила про усунення вразливості в 2018 році, але експерт все ще зміг скористатися їй в 2020 році в одному з ресторанів. Джерело