〇入侵和崩溃

近场通信技术的缺陷让研究人员可以通过挥动手机入侵自动取款机

读卡器技术的缺陷会对销售点系统等造成严重破坏。

近场通信技术的缺陷让研究人员可以通过挥动手机入侵自动取款机
Chalongrat Chuvaree | Getty Images

多年来,安全研究人员和网络犯罪分子利用所有可能的途径侵入自动取款机内部,从打开前面板,将一个u盘插入USB接口钻个洞,露出内部电线.现在,一名研究人员发现了一组漏洞,可以让他以一种新的方式入侵自动取款机——以及各种各样的销售点终端机:用他的手机在非接触式信用卡读卡器上一挥。

安全公司IOActive的研究员兼顾问何塞普·罗德里格斯(Josep Rodriguez)去年一直在挖掘和报告全球数百万自动取款机和销售点系统中使用的所谓近场通信读取芯片的漏洞。NFC系统可以让你在读卡器上挥动信用卡——而不是滑动或插入它——来支付或从提款机取钱。你可以在全球无数的零售商店和餐厅柜台、自动售货机、出租车和停车计时器上找到它们。

现在罗德里格斯开发了一个安卓应用程序,可以让他的智能手机模仿那些信用卡无线电通信,并利用NFC系统固件中的缺陷。只要一挥手机,他就能利用各种漏洞使销售点设备崩溃,侵入它们收集和传输信用卡数据,无形地改变交易价值,甚至在显示勒索软件信息时锁定设备。罗德里格斯说,他甚至可以迫使至少一个品牌的atm机自动提现——尽管如此“大奖”黑客他说,只有在与自动取款机软件中发现的其他错误结合的情况下才能正常工作。由于与ATM供应商签订了保密协议,他拒绝公开说明或披露这些缺陷。

“例如,你可以修改固件,将价格改为1美元,即使屏幕显示你要支付50美元。你可以让设备失效,或者安装一种勒索软件。这里有很多可能性,”罗德里格斯在谈到他发现的销售点攻击时说。“如果你将攻击串联起来,同时向自动取款机的计算机发送一个特殊载荷,你就可以通过轻敲你的手机,像自动取款机一样获得巨额现金。”

罗德里格斯说,他在7个月到一年前通知了受影响的供应商——包括ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo和未透露姓名的ATM供应商——他的发现。尽管如此,他警告说,受影响系统的数量之多,以及许多销售点终端和atm机不定期接收软件更新的事实——在许多情况下,更新需要物理访问——意味着这些设备中的许多可能仍然容易受到攻击。罗德里格斯说:“对数十万台atm机进行物理补丁,这需要大量时间。”

罗德里格斯向《连线》杂志分享了一段视频,展示了这些挥之不去的漏洞。在视频中,他在自己居住的马德里街头,用智能手机对着一台ATM机的NFC读卡器挥舞,导致机器显示错误信息。当他再次触摸NFC读卡器时,NFC读卡器似乎崩溃了,不再读取他的信用卡。(罗德里格斯要求《连线》杂志不要公布这段视频,以免承担法律责任。他也没有提供中奖攻击的视频演示,因为他只能在作为IOActive向受影响的ATM供应商提供安全咨询的一部分获得的机器上进行合法测试,而IOActive与这些供应商签署了保密协议。)

安全公司SRLabs的创始人、著名固件黑客卡斯滕·诺尔(Karsten Nohl)评价说,这些发现是“对嵌入式设备上运行的软件脆弱性的出色研究”。但诺尔指出了一些缺点,降低了它对现实世界小偷的实用性。被黑的NFC读卡器只能窃取磁条信用卡数据,而不能窃取受害者的数据PIN或EMV芯片的数据.Nohl说,ATM提现技巧需要目标ATM代码中一个额外的、明显的漏洞,这是一个不小的警告。

但是安全研究人员,比如已故的IOActive黑客巴纳比·杰克和红气球安全公司的团队,多年来一直能够发现这些ATM的漏洞,并且已经做到了甚至显示黑客可以远程触发ATM中大奖.红气球公司的首席执行官兼首席科学家崔昂表示,罗德里格斯的发现给他留下了深刻的印象,尽管IOActive隐瞒了一些攻击的细节,但他毫不怀疑侵入NFC读取器可以在许多现代atm机中提取现金。崔说:“我认为,一旦你在任何这些设备上执行了代码,你就应该能够直接访问主控制器,因为主控制器充满了十多年来都没有修复的漏洞。”“从那里,”他补充道,“你完全可以控制卡带分配器”,它可以保存和释放现金给用户。

罗德里格斯作为一名顾问,多年来一直在测试自动取款机的安全性。他说,他一年前就开始研究自动取款机的非接触式读卡器(通常由支付技术公司ID tech出售)是否可以作为侵入自动取款机的途径。他开始从eBay上购买NFC阅读器和销售点设备,很快发现其中许多都存在同样的安全漏洞:它们无法验证通过NFC从信用卡发送到阅读器的数据包大小,即应用协议数据单元(APDU)。

罗德里格斯使用一个定制的应用程序,从他支持nfc的安卓手机发送一个精心制作的APDU,这个手机比读者预期的要大数百倍,他能够触发“缓冲区溢出”,这是一种已有几十年历史的软件漏洞,允许黑客破坏目标设备的内存并运行他们自己的代码。

当《连线》杂志联系到受影响的公司时,ID Tech、BBPOS和Nexgo没有回应置评请求,ATM行业协会拒绝置评。Ingenico在一份声明中回应称,由于其安全措施,罗德里格斯的缓冲区溢出技术只能使其设备崩溃,不能在设备上执行代码,但“考虑到给我们的客户带来的不便和影响”,它还是发布了修复程序。(罗德里格斯反驳说,他怀疑Ingenico的缓解措施真的会阻止代码执行,但他实际上还没有创建一个概念证明来证明这一点。)

Verifone方面表示,早在罗德里格斯报告这些漏洞之前,该公司就已经发现并修复了2018年他强调的销售点漏洞。但罗德里格斯认为,这只能说明该公司的设备缺乏一致的补丁;他说,去年他在一家餐厅的Verifone设备上测试了他的NFC技术,发现它仍然很脆弱。

罗德里格斯将他的许多发现保密了整整一年,他计划在未来几周的网络研讨会上分享漏洞的技术细节,部分是为了推动受影响供应商的客户实施这些公司提供的补丁。但他也想呼吁人们更广泛地关注嵌入式设备安全的糟糕状况。他震惊地发现,像缓冲区溢出这样简单的漏洞,竟然存在于如此多的常用设备中——尤其是那些处理现金和敏感金融信息的设备。

“这些漏洞存在于固件中已有多年,我们每天都在使用这些设备来处理我们的信用卡和钱,”他说。“他们需要得到保护。”

本文最初出现在wired.com

你必须置评。

通道Ars Technica