NFC漏洞让研究人员只要挥一挥手机就能破解自动取款机

多年来，安全研究人员和网络犯罪分子利用一切可能的途径侵入atm机内部，从打开前面板，将u盘插入USB接口来钻一个暴露内部线路的孔．现在，一名研究人员发现了一系列漏洞，这些漏洞使他能够以一种新的方式入侵自动取款机和各种各样的销售点终端:通过一个非接触式信用卡读卡器将他的手机一挥。

安全公司IOActive的研究员兼顾问罗德里格斯(Josep Rodriguez)去年一直在挖掘和报告全球数百万台atm机和销售点系统中使用的所谓近场通信读取器芯片的漏洞。NFC系统可以让你在读卡器上挥动信用卡——而不是刷卡或插入——来付款或从取款机上取钱。你可以在全球无数的零售商店和餐厅柜台、自动售货机、出租车和停车计时器中找到它们。

现在，罗德里格斯开发了一款Android应用程序，可以让他的智能手机模仿信用卡无线电通信，利用NFC系统固件中的漏洞。只要他一挥手机，他就能利用各种漏洞使销售点设备崩溃，黑进这些设备来收集和传输信用卡数据，以无形的方式改变交易的价值，甚至在显示勒索软件信息时锁定设备。罗德里格斯说，他甚至可以强迫至少一个品牌的自动提款机——尽管如此“大奖”黑客他说，只有与他在自动取款机软件中发现的其他漏洞结合在一起才能工作。由于与ATM供应商签订了保密协议，他拒绝公开说明或披露这些缺陷。

例如，你可以修改固件，将价格改为1美元，即使屏幕显示你支付了50美元。你可以让设备失效，或者安装某种勒索软件。这里有很多可能性，”罗德里格斯谈到他发现的销售点攻击时说。“如果你将攻击串联起来，并向自动取款机的电脑发送特殊有效载荷，你就可以通过点击手机，将类似自动取款机的现金取出。”

罗德里格斯说，他在7个月到一年前就向受影响的供应商发出了警告，这些供应商包括ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo以及未具名的ATM机供应商。尽管如此，他警告说，受影响系统的数量之多，以及许多销售点终端和atm机不定期接收软件更新(在许多情况下需要物理访问更新)的事实意味着，许多这些设备可能仍然容易受到攻击。罗德里格斯说:“要给成千上万台自动取款机打上物理补丁，这需要很多时间。”

为了证明这些挥之不去的漏洞，罗德里格斯向《连线》杂志(WIRED)分享了一段视频。在视频中，他在自己居住的马德里街头，用智能手机在ATM机的近场通信(NFC)读卡器上晃动，导致ATM机显示错误信息。NFC读卡器似乎崩溃了，当他下次把信用卡碰到机器上时，它就不再读取信用卡了。(罗德里格斯要求《连线》杂志不要发布这段视频，以免承担法律责任。他也没有提供“头奖”攻击的视频演示，因为他说，他只能在IOActive向受影响的ATM供应商提供安全咨询时获得的机器上进行合法测试，IOActive已经与该供应商签署了保密协议。)

安全公司SRLabs的创始人、知名固件黑客卡斯滕·诺尔(Karsten Nohl)说，这些发现是“对嵌入式设备上运行的软件漏洞的出色研究”，他回顾了罗德里格斯的研究成果。但Nohl指出了一些缺点，降低了它对现实世界小偷的实用性。被黑的NFC读取器只能窃取磁条信用卡数据，而不是受害者的密码或EMV芯片的数据．Nohl说，事实上，ATM机的提现技巧需要目标ATM机的代码中有一个额外的、明显的漏洞，这是一个不小的警告。

但像IOActive黑客巴纳比·杰克(Barnaby Jack)和红气球安全公司(Red Balloon security)的团队这样的安全研究人员多年来一直能够发现ATM机的漏洞甚至显示黑客可以远程触发ATM机头奖．红气球公司首席执行官兼首席科学家崔昂表示，他对罗德里格斯的发现印象深刻，他毫不怀疑，黑客攻击NFC读取器可能会导致许多现代atm机兑现现金，尽管IOActive没有透露其攻击的一些细节。Cui说道:“我认为一旦你在这些设备上执行了代码，你应该能够直接到达主控制器，因为它充满了10多年来未被修复的漏洞。”“从那里，”他补充说，“你完全可以控制卡带机”，它可以储存和释放现金给用户。

作为一名顾问，罗德里格斯多年来一直在测试atm机的安全性。他说，一年前他就开始研究atm机的非接触式读卡器——通常由支付技术公司ID tech销售——是否可能成为黑客入侵的途径。他开始从eBay购买NFC阅读器和销售点设备，很快发现其中许多都存在同样的安全漏洞:它们没有验证通过NFC从信用卡发送到阅读器的数据包的大小，即应用协议数据单元(APDU)。

罗德里格斯使用定制应用程序从他启用nfc的Android手机发送一个精心制作的APDU，它比读者预期的大数百倍，他能够触发“缓冲区溢出”，这是一种几十年前的软件漏洞，允许黑客破坏目标设备的内存并运行他们自己的代码。

当《连线》联系到受影响的公司时，ID Tech、BBPOS和Nexgo没有回应置评请求，ATM行业协会也拒绝置评。Ingenico在一份声明中回应称，出于安全方面的考虑，罗德里格斯的缓冲区溢出技术只能导致设备崩溃，无法在设备上执行代码，但“考虑到给客户带来的不便和影响”，他们还是发布了修复方案。(Rodriguez反驳说，他怀疑Ingenico的缓解措施是否真的会阻止代码执行，但他还没有真正创造出一个概念证明来证明这一点。)

Verifone方面表示，早在罗德里格斯报告之前，它就已经发现并修复了2018年他强调的销售点漏洞。但罗德里格斯认为，这只能说明该公司的设备缺乏一致的补丁;他说，他去年在一家餐厅用Verifone设备测试了他的NFC技术，发现它仍然很脆弱。

罗德里格斯对他的许多发现保密了整整一年，他计划在未来几周的网络研讨会上分享漏洞的技术细节，部分原因是推动受影响供应商的客户实施这些公司提供的补丁。但他也想在更广泛的范围内提醒人们注意嵌入式设备安全的糟糕状态。他震惊地发现，像缓冲区溢出这样简单的漏洞在如此多的常用设备中仍然存在——这些设备处理现金和敏感的财务信息。

他说:“这些漏洞在固件中已经存在多年了，我们每天都在使用这些设备来处理我们的信用卡和资金。”“它们需要得到保护。”

这个故事最初出现在wired.com．