多年来,安全研究人员和网络犯罪分子通过一切可能的途径侵入自动取款机的内部,从打开前面板,将u盘插入USB端口至钻一个洞,暴露内部线路.现在,一位研究人员已经找到了一系列错误,让他允许他与各种各样的销售点终端 - 以一种新的方式:通过非接触式信用卡读卡器,他的手机浪潮。
IOActive安全公司研究员兼顾问何塞·罗德里格斯(Josep Rodriguez)去年花了大量时间,挖掘并报告所谓近场通信读取器芯片的漏洞。全球数百万台atm机和销售点系统都使用了这种芯片。NFC系统让你在读卡器上刷卡,而不是刷卡或插入,来进行支付或从取款机中提取钱。你可以在全球无数的零售商店、餐馆柜台、自动贩卖机、出租车和停车计时器上找到它们。
“您可以修改固件并将价格更改为一美元,例如,即使屏幕显示您正在支付50美元。您可以使设备无用,或安装一种勒索软件。有很多可能性在这里,“他发现的销售点攻击的Rodriguez说。“如果你链接攻击并向ATM的电脑发送特殊的有效载荷,你可以通过点击您的手机来拖放ATM样本。”
罗德里格兹说,他在7个月到一年前就提醒了受影响的供应商,包括ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo和一个未具名的ATM供应商。即便如此,他警告说,受影响的系统数量之多,以及许多销售点终端和自动取款机不定期接收软件更新的事实——而且在很多情况下需要通过物理途径获取更新——意味着这些设备中的许多可能仍然容易受到攻击。罗德里格斯说:“对成千上万的自动取款机进行物理修复,这将需要很多时间。”
为了证明这些持续存在的漏洞,罗德里格斯与《连线》杂志分享了一段视频。在视频中,他在自己居住的马德里街道上,用智能手机在ATM机的NFC读卡器上挥手,导致ATM机显示错误信息。NFC读卡器似乎崩溃了,当他再次触摸他的信用卡时,就不再读取它了。(罗德里格斯要求《连线》杂志不要发布这段视频,以免承担法律责任。他也没有提供一段关于头奖攻击的视频演示,因为他说,他只能在IOActive向受影响的ATM供应商提供安全咨询时获得的机器上进行合法测试,IOActive已经与该供应商签署了保密协议。)
安全公司SRLabs的创始人、著名固件黑客卡斯滕诺尔(Karsten Nohl)评论了罗德里格斯的研究,他说,这些发现是“对嵌入式设备上运行的软件漏洞的出色研究”。但诺尔指出了一些缺点,这些缺点降低了它对现实世界盗贼的实用性。被黑的NFC读卡器只能窃取磁条信用卡数据,而不能窃取受害者的数据引脚或来自EMV芯片的数据.诺尔说,事实上,ATM的提现技巧要求目标ATM的代码有一个额外的、明显的漏洞,这不是一个小警告。
但安全研究人员,比如最近IOActive的黑客巴纳比·杰克和红气球安全公司的团队,多年来一直能够发现这些ATM的漏洞甚至显示黑客可以远程触发自动取款机中头奖.红气球首席执行官兼首席科学家Ang Cui表示,他对罗德里格斯的发现印象深刻,并且毫无疑问,尽管IOActive没有透露一些攻击的细节,但入侵NFC读取器可能会导致许多现代自动取款机出现现金。“我认为一旦你在这些设备上执行了代码,你应该能够直接进入主控制器,这是非常合理的,因为这个东西充满了漏洞,十多年来都没有被修复,”崔说。“从那时起,”他补充说,“你就可以完全控制卡式贩卖机了”,这种贩卖机可以存放并向用户发放现金。
作为一名顾问,罗德里格斯多年来一直在测试自动取款机的安全性。他说,他从一年前就开始研究自动取款机的非接触式读卡器(最常见的是由支付技术公司ID tech销售的)是否可以作为入侵自动取款机的途径。他开始从eBay和购买NFC读者和销售点设备很快发现他们中的许多人遭受相同的安全缺陷:他们没有验证数据包的大小通过NFC从信用卡到读者,被称为应用程序协议数据单元或APDU。
通过使用自定义应用程序将仔细制作的APDU从他的NFC启用的Android手机发送数百次大于读者的预期,Rodriguez能够触发“缓冲区溢出”,几十年历史型软件漏洞,允许a黑客损坏目标设备的内存并运行自己的代码。
《连线》杂志联系了受影响的公司,ID Tech、BBPOS和Nexgo均未回复置评请求,ATM行业协会也拒绝置评。Ingenico在一份声明中回应称,由于安全性降低,Rodriguez的缓冲区溢出技术只能使其设备崩溃,而不能在设备上执行代码,但“考虑到给我们的客户带来的不便和影响”,它还是发布了修复程序。(Rodriguez反驳说,他怀疑Ingenico的缓解措施是否真的会阻止代码执行,但他还没有真正创建一个概念证明来证明这一点。)
Verifone表示,早在罗德里格斯在2018年报告销售点漏洞之前,该公司就已经发现并修复了这些漏洞。但罗德里格斯认为,这只是表明该公司的设备缺乏一致的补丁;他说,他去年在一家餐厅的Verifone设备上测试了他的近距离通信技术,发现它仍然脆弱。
在将他的许多结果保存在整个一年之后,Rodriguez计划在未来几周内分享漏洞中漏洞的技术细节,部分是为了推动受影响的供应商的客户来实施公司所提供的补丁.但他还希望更广泛地称呼嵌入式设备安全性的深渊状态。他很震惊地发现,随着缓冲区溢出的漏洞,在许多常用的设备中徘徊在那些处理现金和敏感的财务信息的情况下,不那么简单。
“这些漏洞已经存在于固件中多年,我们每天都使用这些设备来处理我们的信用卡,我们的资金”,“他说。“他们需要得到保障。”
这个故事最初出现在wired.com.
17岁的读者评论
累积奖金!
具有讽刺意味的是,直到去年他们所拥有的单元还在运行着更老的代码,并且没有任何崩溃bug。
Eeeeeeasy钱。
毕竟,复制是科学过程的基石,不是吗?
的确如此。但我确实在想,到底是真正的自动取款机头奖,还是电影的比喻先出现。毕竟,生活模仿艺术,但艺术也模仿生活。
和…还有谁回想一下90年代的网络和它的愚蠢漏洞,都归结为“我们太相信输入了?”虽然这种情况仍然会发生,但技术和编码实践已经发展到可以缓解这种情况,即使程序员不去尝试。
或者是什么意思是“黑客收集和传输信用卡数据” - 除非这是“通过NFC接口的黑客,窃取刷卡的信用卡数据而不是插入/删除”?
的确如此。但我确实在想,到底是真正的自动取款机头奖,还是电影的比喻先出现。毕竟,生活模仿艺术,但艺术也模仿生活。
和…还有谁回想一下90年代的网络和它的愚蠢漏洞,都归结为“我们太相信输入了?”虽然这种情况仍然会发生,但技术和编码实践已经发展到可以缓解这种情况,即使程序员不去尝试。
100%
有多少仍在运行OS / 2以及一般有多少抱怨银行业以及费用和费用,但有多少人愿意投资300k + USD来替换它们每一个n ?.这是一种技术,剥削的成熟,并且充其量的任何反应都是天真的。
令人失望的是,它真的变成了“我可以做得更好”的历史“回顾”。今天阿波罗11号会被随机软件控制在KSC的发射台上。
面对这么多的历史回顾(读到他们喝的是铅做的杯子,该死的,这是愚蠢的),我将——就这一次——喜欢读,“安全人员不知疲倦地工作,解决问题Q在自我强加,准,这个行业的时间框架是7-12个月,现在他们可以舒舒服服地生活,知道他们的抵押贷款将还清,他们的孩子将去上大学……我们其他人都很开心!”
我得到它,100%获得奉献和智力,但......我现在只将其视为问题的所有者而不是解决方案的所有者。
击败这一点,我不在乎我在使用一名破坏者将你最喜欢的ATM带到垃圾填埋场,并在使用撬棍打开和偷走战利品后倾倒它......
你必须登录或者创建一个帐户置评。