Смартфон с NFC как отмычка к банкомату
Специалисты по безопасности не просто так едят свой хлеб, один из них, Джозеф Родригес в ходе своих исследований обнаружил уязвимость в банкоматах. Она позволяет взламывать их с помощью беспроводного интерфейса. Основывается эта уязвимость на дырке в безопасности десятилетней давности, и позволяет легко манипулировать своим счётом, а также снимать безлимитно наличные. Для этого нужен только смартфон и специальное приложение, эксплуатирующее старую дыру в безопасности.
Несколько десятков лет существовали распространённые уязвимости, которые приводили к сбоям при переполнении буфера памяти. Это позволяло злоумышленникам изменять код устройства. Тогда уязвимость была устранена, однако, по всей видимости, не до конца, производители банкоматов снова наступили на те же грабли.
Эксперт обнаружил, что далеко не все устройства делают проверку пакетов данных на размер. Но проверка не делается при отправке по беспроводному интерфейсу NFC. Здесь открывается огромное поле для манипуляций – можно изменять количества средств на счёте, а можно получать сколько угодно наличных.
К примеру, можно заказать снятие со своего счёта 1000 долларов, но потом изменить код для своего счёта всего на доллар, ваш банк спишет ваш доллар, но вы получите в тысячу раз больше наличных. Можно также установить на банкомат программу вымогатель. И всё это можно провернуть, только поднеся свой смартфон с модулем NFC к считывающему устройству банкомата.
Хорошо, что Джозеф Родригес, когда нашёл эту уязвимость, официально числился консультантом по кибербезопасности в компании IOActive, иначе ему бы предъявили обвинение. По его словам, проблема носит огромные масштабы, поскольку эта дыра присутствует на очень большом количестве банкоматов, которые стоят на улицах и в торговых центрах. Если есть модуль NFC, то приложение написать несложно под него.
Соответствующие службы были уведомлены ещё год назад, однако до сих пор специалист обнаруживает такие устройства, то есть проблема ещё актуальна. Он решил обнародовать информацию об этой уязвимости, чтобы компании начали, наконец, устранять эту проблему.
Посмотрите на эти материалы:
Понравилась статья? Поделитесь с друзьями в социальных сетях!