NFC缺陷让研究人员通过挥动手机来破解ATM

多年来，安全研究人员和网络犯罪分子通过使用所有可能的途径到他们的内部，从打开前面板并将拇指驱动器粘在USB端口中至钻孔露出内部布线。现在，一位研究人员已经找到了一系列错误，让他允许他与各种各样的销售点终端 - 以一种新的方式：通过非接触式信用卡读卡器，他的手机浪潮。

Security公司Ioactive的研究人员和顾问Josep Rodriguez已经花了过去一年的挖掘和报告了在全球数百万ATM和销售点系统中使用的所谓近场通信读卡器筹码。NFC系统是什么让您在读者上挥动信用卡 - 而不是滑动或插入它 - 从自动取款机付款或提取资金。您可以在全球范围内找到无数零售商店和餐厅柜台，自动售货机，出租车和停车尺。

现在Rodriguez建立了一个Android应用程序，允许他的智能手机模仿那些信用卡无线电通信并利用NFC系统固件中的缺陷。随着他的手机的浪潮，他可以利用各种错误来崩溃销售点设备，黑客攻击他们收集和传输信用卡数据，无形地更改事务的价值，甚至在显示赎金软件时锁定设备。Rodriguez表示，他甚至可以强迫至少一个品牌的ATM品牌分配现金 - 虽然这一点“倒车”黑客只与其他错误相结合，他说他在ATMS软件中找到了他。由于与ATM供应商不具备不具备的协议，他拒绝公布或披露这些缺陷。

“您可以修改固件并将价格更改为一美元，例如，即使屏幕显示您正在支付50美元。您可以使设备无用，或安装一种勒索软件。有很多可能性在这里，“他发现的销售点攻击的Rodriguez说。“如果你链接攻击并向ATM的电脑发送特殊的有效载荷，你可以通过点击您的手机来拖放ATM样本。”

Rodriguez表示，他提醒受影响的供应商 - 其中包括ID Tech，Ingenico，Verifone，Crane支付创新，BBPOS，Nexgo和未命名的ATM供应商 - 在七个月和一年前之间的调查结果。即便如此，他警告说，影响系统的纯粹数量以及许多销售点终端和ATMS不经常接收软件更新 - 并且在许多情况下需要物理访问更新 - 意味着许多这些设备可能仍然脆弱。“修补了这么多数千个ATM的物理上，这是一个需要很多时间的东西，”Rodriguez说。

作为对挥之不去的漏洞的演示，Rodriguez共享一个视频，其中有线，他在马德里的街道上挥动了一台智能手机，他居住在哪里，并使机器显示错误消息。NFC读者似乎崩溃，当他接下来触及机器时，不再读取他的信用卡。（Rodriguez要求有线没有发布视频，以担心法律责任。他也没有提供倒车攻击的视频演示，因为他说，他只能在作为Ioactive咨询咨询的一部分获得的机器上合法测试它受影响的ATM供应商，Ioactive已经签署了NDA。）

调查结果是“嵌入式设备上运行的软件脆弱性的优秀研究”，“安全公司SRLABS的创始人和一个知名的固件黑客在罗德里格斯的工作中，Karsten Nohl说。但是NOHL指出了一些缺点，减少了真实世界盗贼的实用性。一个黑客的NFC读者只能窃取Mag-Stripe信用卡数据，而不是受害者的引脚或来自EMV芯片的数据。事实上，ATM Quapout ick将需要在目标ATM的代码中需要额外的，但不同的漏洞是没有小的警告，NOHL说。

但是，安全的研究人员喜欢Deaovate Hacker Barnaby Jack和Red Balloon Security的团队已经能够多年来发现那些ATM漏洞甚至表明，黑客可以远程触发ATM倒车。红气球首席执行官和首席科学家Ang Cui说，他对Rodriguez的调查结果印象深刻，尽管Ioactive扣留了其袭击的一些细节，但是罗德里格·读者可能会导致许多现代ATM中的现金留下深刻的疑虑。“我认为一旦在这些设备上有代码执行，你应该能够向主控制器右转，因为这件事充满了十多年来没有固定的漏洞，”Cui说。“从那里，”他补充道，“你绝对可以控制盒式磁带分配器”，该盒子可以向用户发布现金。

罗德里格兹曾多年测试ATM作为顾问的安全性，他开始探索一年前ATMS'非接触式卡读者 - 最常见的是支付技术公司ID技术 - 可以作为攻击他们的途径。他开始从eBay购买NFC读者和销售点设备，很快发现了许多人遭受了相同的安全漏洞：他们没有通过NFC从信用卡发送到读者的数据包的大小，被称为应用协议数据单元或APDU。

通过使用自定义应用程序将仔细制作的APDU从他的NFC启用的Android手机发送数百次大于读者的预期，Rodriguez能够触发“缓冲区溢出”，几十年历史型软件漏洞，允许a黑客损坏目标设备的内存并运行自己的代码。

当接线到达受影响的公司时，ID Tech，BBPO和Nexgo没有回应评论请求，ATM行业协会拒绝发表评论。Ingenico在一份声明中回复了，由于其安全缓解，Rodriguez的缓冲区溢出技术只能崩溃其设备，而不是在它们上获得代码执行，但是，“考虑到不便和对客户的影响，”无论如何，它发出了修复。（Rodriguez计数器，他怀疑Ingenico的缓解实际上会阻止代码执行，但他实际上并没有创造一个概念证明来证明这一点。）

就其部分而言，Verifone表示，它发现并修复了在2018年突出的销售点脆弱点罗格里格在他报告之前突出显示。但Rodriguez认为，这只证明了公司设备缺乏持续的补丁;他说，他去年在一家餐馆测试了他的NFC技术，发现它仍然脆弱。

在将他的许多结果保存在整个一年之后，Rodriguez计划在未来几周内分享漏洞中漏洞的技术细节，部分是为了推动受影响的供应商的客户来实施公司所提供的补丁。但他还希望更广泛地称呼嵌入式设备安全性的深渊状态。他很震惊地发现，随着缓冲区溢出的漏洞，在许多常用的设备中徘徊在那些处理现金和敏感的财务信息的情况下，不那么简单。

“这些漏洞已经存在于固件中多年，我们每天都使用这些设备来处理我们的信用卡，我们的资金”，“他说。“他们需要得到保障。”

这个故事最初出现在Wired.com.。