Стало відомо про критичну вразливість техніки з NFC-модулями

Дослідник проблем кібербезпеки з компанії IOActive Жозеп Родрігес (Josep Rodriquez) попередив, що пристрої для зчитування NFC-чіпів в багатьох сучасних банкоматах та платіжних терміналах уразливі до атак, часто — за допомогою звичайного смартфона.

За словами експерта, обладнання можна зламати, піднісши смартфон з NFC-модулем до зчитувача, заблокувавши його для подальшого використання або навіть витягти інформацію про окремі банківські картки. Родрігес впевнений, що такі уразливості також можна використовувати як один з елементів «джекпоттінгових» атак, коли машина починає видавати готівку зловмисникові (відзначено, що такі атаки можливі лише з використанням в «зв’язці» з іншими вразливостями в обладнані або в ПЗ).

За наявними даними, використані Родрігесом уразливості у NFC-зчитувача досить легко виявити та використовувати. Для того, щоб використовувати діри в системі безпеки машин досить піднести до них сумісний смартфон на Android, який використовує спеціальне програмне забезпечення. На одному з відео Родрігес надав доказ, «зламавши» банкомат в Мадриді, після чого той перестав реагувати на справжні банківські карти.

Дослідження виявило пару проблем з NFC-сумісним обладнанням. По-перше, багато моделей зчитувачів уразливі до відносно простих атак. Наприклад, деякі зчитувачі не перевіряють, як багато даних вони отримують — іншими словами, систему можна перевантажити величезною кількістю даних для виконання так званої атаки «переповнення буфера».

По-друге, компанії часом дуже повільно випускають патчі для усунення виявлених проблем у сотень тисяч машин, розкиданих по всьому світу. Найчастіше віддалений доступ до пристрою не передбачений, і кожну точку необхідно особисто відвідати спеціалістом для встановлення оновленого ПЗ — тому багато системи не отримують регулярних оновлень безпеки. За даними Родрігеса, одна з компаній заявила про усунення вразливості у 2018 році, але експерт все ще зміг скористатися нею у 2020 році в одному з ресторанів.

У найближчі тижні він має намір поділитися власним досвідом у форматі вебінару.

Додайте SUNDRIES у вибрані джерела Google Новини

Ви читаєте незалежне україномовне видання "SUNDRIES". Ми не належимо ні олігархам, ні депутатам. Отож ми потребуємо Вашої підтримки для розвитку та збереження незалежності. Підтримайте нас!

Джерело The Verge
Вам також може сподобатись
Коментарі
Loading...