Дослідники безпеки попереджають про уразливість NFC-зчитувачів у банкоматах

Дослідник безпеки IOActive (Josep Rodriquez) попередив, що зчитувачі NFС, використовувані в багатьох сучасних банкоматах і торговельних точках, роблять їх уразливими для атак. Недоліки роблять їх уразливими для низки проблем, включаючи збій через пристрій NFC поруч, блокування в результаті атаки програми-здирника або навіть злом для вилучення певних даних кредитної картки.

Уразливості можуть бути використані як частина атаки «джекпоту», щоб обманом змусити банкомат виплюнути гроші. Однак подібна атака можлива тільки в поєднанні з експлойтом додаткових помилок. Проте, через угоду про конфіденційність IOActive з постраждалим постачальником банкоматів, інформація не розкривається.

Дослідник безпеки демонстрував, як він може просто махнути Android-телефоном з певним програмним забезпеченням перед NFC-зчитувачем банкомата, щоб скористатися будь-якими наявними уразливостями. В Мадриді він змусив відображати повідомлення про помилку, просто розмахуючи смартфоном над зчитувачем NFC. Потім банкомат перестав реагувати на справжні кредитні карти користувачів.

Дослідження виявляє кілька серйозних проблем з системами. По-перше, багато зчитувачів NFC уразливі для досить простих атак. Наприклад, в деяких випадках зчитувачі не перевіряють, скільки даних вони отримують.

Друга проблема полягає в тому, що навіть після виявлення проблеми компанії можуть не поспішати застосовувати виправлення до тисячів банкоматів, що розташовані по всьому світу. Часто, для оновлення необхідна фізична присутність фахівця, а тому багато пристроїв не отримують регулярних виправлень безпеки. Одна компанія заявила, що проблема, на яку вказав дослідник, була усунена, наприклад, в 2018 році. Але дослідник говорить, що він знову виявив її в 2020 році.

Правила коментування

Вітаємо Вас на сайті Pingvin Pro. Ми докладаємо всіх зусиль, аби переконатися, що коментарі наших статей вільні від тролінгу, спаму та образ. Саме тому, на нашому сайті включена премодерація коментарів. Будь ласка, ознайомтеся з кількома правилами коментування.

1. Перш за все, коментування відбувається через сторонній сервіс Disqus. Модератори сайту не несуть відповідальність за дії сервісу.
2. На сайті ввімкнена премодерація. Тому ваш коментар може з’явитися не одразу. Нам теж інколи треба спати.
3. Будьте ввічливими – ми не заохочуємо на сайті грубість та образи. Пам’ятайте, що слова мають вплив на людей! Саме тому, модератори сайту залишають за собою право не публікувати той чи інший коментар.
4. Будь-які образи, відкриті чи завуальовані, у бік команди сайту, конкретного автора чи інших коментаторів, одразу видаляються. Агресивний коментатор може бути забанений без попереджень і пояснень з боку адміністрації сайту.
5. Якщо вас забанили – на це були причини. Ми не пояснюємо причин ані тут, ані через інші канали зв’язку з редакторами сайту.
6. Коментарі, які містять посилання на сторонні сайти чи ресурси можуть бути видалені без попереджень. Ми не рекламний майданчик для інших ресурсів.
7. Якщо Ви виявили коментар, який порушує правила нашого сайту, обов’язково позначте його як спам – модератори цінують Вашу підтримку.