Top50 2024

Istraživač uspeo da hakuje bankomate koristeći NFC i Android aplikaciju

Mnogi su verovatno maštali o tome kako da iz bankomata izvuku više novca nego što imaju na bankovnim računima.

PCPress.rs Image

Sve što je trebalo je da iskoristi deset godina staru softversku ranjivost i mahne telefonom

Neki su čak uspešno pokušali sve vrste metoda za eksploataciju bankomata fizičkim petljanjem oko hardvera mašina. Ali sada je istraživač uspeo da hakuje bankomate i druge POS-mašine, tako što je jednostavno prešao telefonom preko beskontaktnog čitača kartica. Prema Wired portalu, Joseph Rodriguez, savetnik za bezbednost u IOActiveu, uspeo je da iskoristi manu u NFC sistemu bankomata i POS sistema koji se nalaze u tržnim centrima, restoranima i maloprodajnim prodavnicama.

Koristio je telefon sa NFC-om i Android aplikaciju koju je dizajnirao da zarazi čipove NFC čitača ovih mašina raznim greškama da bi ih srušio, hakovao da bi prikupljao podatke o kreditnim karticama, neprimetno menjao vrednost transakcija, pa čak i da na nekim bankomatima dobije „džekpot ” u vidu prosipanja gotovine. Međutim, poslednja eksploatacija takođe je zahtevala manipulaciju postojećim ranjivostima u softveru bankomata.

Pročitajte i:  Procureli renderi Google Pixel 9A  

Rodriguez je započeo svoje istraživanje mogućnosti hakovanja beskontaktnih čitača kartica na bankomatima kupujući NFC čitače i uređaje na prodajnim mestima sa eBay-a. Ubrzo je otkrio da mnogi od njih nisu potvrdili veličinu paketa podataka koji se putem NFC-a šalju sa kreditne kartice u čitač. Koristeći prilagođenu Android aplikaciju, poslao je paket podataka stotinama puta veći od onoga što je mašina očekivala, čime je pokrenuo „buffer overflow“, decenijsku ranjivost softvera koja omogućava napadaču da ošteti memoriju uređaja i pokrene sopstveni kod.

Rodriguez je pre otprilike godinu dana obavestio pogođene brendove i prodavce o sigurnosnom problemu, ali kaže da je broj uređaja koje treba fizički popraviti ogroman i da će trebati puno vremena. Činjenica da mnogi POS terminali ne dobijaju redovna ažuriranja softvera čini ovu manu još opasnijom.  Istraživač je godinu dana skrivao većinu svojih otkrića, ali sada namerava da podeli tehničke detalje o njima, kako bi podstakao pogođene prodavce da primene zakrpe.

Izvor: Androidauthority

Facebook komentari:
Računari i Galaksija
Tagovi: , ,