Odkryto poważną lukę zabezpieczeń terminali i bankomatów

Hiszpański badacz ds. cyberbezpieczeństwa zatrudniony przez firmę IOActive poinformował o odkryciu nowej luki bezpieczeństwa w bankomatach i terminalach płatniczych. Błąd jest bardzo poważny, ponieważ umożliwia m.in. zmianę kwot transakcji, wyodrębnienie informacji o kartach płatniczych oraz całkowite zablokowanie maszyny. Do wykorzystania z luki wystarczy smartfon obsługujący bączność NFC.

Błąd jest związany z modułem ADPU, wykorzystywanym właśnie w czytnikach NFC. Okazuje się, że jego projektanci nie pomyśleli o weryfikowaniu rozmiaru pakietów danych. Przesyłając je przez smartfon można więc w praktyce przepełnić bufor i wpłynąć na działanie maszyny. W skrajnych przypadkach możliwe ma być nawet przeprowadzenie ataku ransomware. Nieco trudniejszą operacją jest z kolei jackpotting, czyli nakłonienie maszyny do wydania gotówki. Autor odkrycia uspokaja jednak, że ten jest możliwy tylko przy wykorzystaniu innych błędów.

Firma IOActive nie poinformowała, jakich konkretnych urządzeń dotyczy błąd. Jest to o tyle istotne, że tuż po ogłoszeniu wiadomości o luce jedna z firm produkujących bankomaty zadeklarowała, że odkryła ten problem już w 2018 roku i usunęła zagrożenie podczas aktualizacji oprogramowania. Autor odkrycia pokazał w mediach krótki film, w którym wywołuje na ekranie jednego z urządzeń w Madrycie komunikat o błędzie, po prostu zbliżając telefon do czytnika. Inny film przedstawiający dokładnie całą procedurę został z kolei utajony ze względu na prostotę przeprowadzenia takiego ataku.

Choć wspominamy tu głównie o bankomatach, odkrycie jest świadectwem słabości nie tyle sprzętu obsługującego transakcje, co samego NFC. Moduł ten jest stosowany powszechnie przez wiele urządzeń. W przypadku bankomatów problemem jest też brak regularnych poprawek bezpieczeństwa, co wynika najczęściej z konieczności odwiedzenia wielu maszyn z osobna.