Исследование: NFC-модули банкоматов оказалось достаточно легко взломать

Эксперт по кибербезопасности Жозеп Родригес (Josep Rodriquez) из компании IOActive опубликовал исследование согласно которому устройства для считывания NFC-чипов во многих современных банкоматах и платёжных терминалах оказались уязвимы к атакам. Причем часто их можно взломать при помощи обычного смартфона. Поднеся смартфон с NFC-модулем к считывателю можно заблокировать его для дальнейшего использования и даже извлечь информацию об отдельных банковских картах.

Такие уязвимости также можно использовать как один из элементов «джекпоттинговых» атак, когда машина начинает выдавать наличные злоумышленнику (отмечено, что такие атаки возможны только с использованием в «связке» с другими уязвимостями). Использованные уязвимости в NFC-считывателях довольно легко обнаружить и использовать. Для того чтобы использовать дыры в системе безопасности машин достаточно поднести к ним совместимый смартфон на Android, использующий специальное программное обеспечение. На одном из видео эксперт предоставил доказательство, «сломав» банкомат в Мадриде, после чего тот перестал реагировать на настоящие банковские карты.

Многие модели считывателей уязвимы к относительно простым атакам. Например, некоторые считыватели не проверяют, как много данных они получают — другими словами, систему можно перегрузить огромным количеством данных для выполнения т. н. атаки «переполнения буфера».

Другой проблемой стало то что компании медленно выпускают патчи для устранения выявленных проблем у сотен тысяч машин, разбросанных по всему миру. Зачастую удалённый доступ к устройству не предусмотрен, и каждую точку необходимо лично посетить для установки ПО — поэтому многие системы не получают регулярных обновлений безопасности. По данным Родригеса, одна из компаний заявила об устранении уязвимости в 2018 году, но эксперт всё ещё смог воспользоваться ей в 2020 году в одном из ресторанов.

Источник