Тази новина е колкото любопитна, толкова и страшна: оказва се, че специалист по киберсигурност е успял да хакне банкомати и ПОС устройства само като размаха телефона си над безконтактния четец.
Джоузеф Родригес, който е консултант в компанията IO Active, е успял да експлоатира NFC системата на поредица от разплащателни устройства в молове, ресторанти и търговски обекти. Той постига това само с Android телефон с NFC функция и разработено от него приложение, което заразява чиповете в тези устройства. Зловредният софтуер събира данни за кредитни карти, променя стойностите на транзакциите, блокира системите или направо ги кара да „изплюят“ кеш.
„Може да модифицирате софтуера и да промените цената на един долар, въпреки че на екрана се показва, че плащате 50 долара. Може да извадите устройството от употреба или да инсталирате рансъмуер. Възможностите са най-различни, казва консултантът.
Родригес започва тези експерименти, като си купува NFC четци и ПОС устройства от ebay. Скоро той открива, че много от тях не са проверили размера на пакета данни, изпращан чрез NFC от кредитна карта до четеца. Използвайки персонализирано приложение за Android, той изпраща пакет данни стотици пъти по-голям от това, което машината очаква, като по този начин задейства „препълване на буфера“ - десетилетна уязвимост на софтуера, която позволява на атакуващия да повреди паметта на устройството и да стартира собствен код.
Родригес информира засегнатите марки и доставчици за уязвимостта в сигурността преди около година, но казва, че огромният брой устройства, които трябва да бъдат физически закърпени, е голям и ще отнеме много време. Фактът, че много POS терминали не получават редовни актуализации на софтуера, прави този пробив още по-опасен.
Изследователят запазва повечето си открития в продължение на една година, но сега се опитва да сподели технически подробности за тях, за да подтикне засегнатите доставчици да внедрят корекции.
Снимка: Motorola
Виж още: Екраните на Galaxy Z Fold 3 стават по-малки, а гъвкавите устройства на Xiaomi – повече