Консультант з безпеки Джозеф Родрігес знайшов спосіб бездротового злому банкоматів. Для отримання безлімітного кількості грошей виявилося досить програми на смартфоні і знання уразливості десятирічної давності.
Кілька десятиліть тому існувала поширена помилка, що приводить до переповнення буфера пам’яті і дозволяє зловмисникам маніпулювати кодом пристрою. Діра в безпеці була благополучно усунена, але, як з’ясувалося, творці банкоматів наступають на старі граблі. Джозеф Родрігес виявив, що багато хто з подібних пристроїв не перевіряють розмір пакета даних, що відправляється через NFC на пристрій, що зчитує. Це дозволяє як маніпулювати грошима на своєму рахунку, так і отримати безлімітний готівку.
«Ви можете змінити прошивку або суму, наприклад, на один долар, навіть коли на екрані відображається, що ви платите 50 доларів. Ви можете зробити пристрій марним або встановити свого роду програму-вимагач. Якщо ви робите атаку і відправляєте спеціальну навантаження на комп’ютер банкомату, ви можете отримати джекпот, просто піднісши свій смартфон », – пояснює Джозеф.
На момент виявлення уразливості Джозеф Родрігес працював консультантом з безпеки в IOActive. Він запевняє, що масштаби проблеми величезні, оскільки діра присутній на численних пристроях в торгових центрах, ресторанах і магазинах роздрібної торгівлі. Для злому досить смартфона з NFC, ну а спеціальний додаток Джозеф написав самостійно.
Він повідомив спеціальні служби більше року тому, але виявив, що проблема досі актуальна. Оприлюдненням подробиць злому він планує привернути увагу до уразливості, що підштовхне зацікавлені сторони до її усунення.
