Un ricercatore spagnolo ha trovato una serie di bug che consentono di hackerare gli ATM e un’ampia varietà di terminali POS e ha sviluppato un’app per Android che permette di hackerarli semplicemente agitando il telefono sul lettore di carte di credito contactless.
Josep Rodriguez, ricercatore e consulente presso la società di sicurezza IOActive, ha trascorso l’ultimo anno a scovare e segnalare le vulnerabilità nei cosiddetti chip di lettura delle comunicazioni near-field utilizzati in milioni di bancomat e sistemi di punti vendita in tutto il mondo.
Ora Rodriguez ha creato un’app per Android che consente al suo smartphone di imitare le comunicazioni radio della carta di credito e sfruttare i difetti nel firmware dei sistemi NFC. Attraverso un gesto del telefono è possibile sfruttare una serie di bug per bloccare i dispositivi del punto vendita, hackerarli per raccogliere e trasmettere i dati della carta di credito, modificare invisibilmente il valore delle transazioni e persino bloccare i dispositivi mentre viene visualizzato un messaggio di ransomware.
Secondo il ricercatore, è possibile persino costringere almeno un brand di bancomat a erogare denaro (sebbene quell’hack “jackpotting” funzioni solo in combinazione con bug aggiuntivi che riferisce di aver trovato nel software degli sportelli automatici).
Rodriguez non ha specificato né divulgato pubblicamente tali difetti nel rispetto di accordi di non divulgazione con i venditori di ATM.
“Puoi modificare il firmware e cambiare il prezzo a un dollaro, ad esempio, anche quando lo schermo mostra che stai pagando 50 dollari. Puoi rendere il dispositivo inutilizzabile o installare una specie di ransomware. Ci sono molte possibilità qui”, ha comunicato Rodriguez degli attacchi al punto vendita che ha scoperto. “Se concateni l’attacco e invii anche un payload speciale al computer di un ATM, puoi vincere il jackpot del bancomat – come incassare, semplicemente toccando il tuo telefono”.
Rodriguez ha avvisato i fornitori interessati, tra cui ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo e il fornitore di ATM senza nome delle sue scoperte. Ha anche avvertito che un gran numero di sistemi interessati e di terminali POS e ATM non ricevono regolarmente aggiornamenti software e in molti casi richiedono l’accesso fisico per l’aggiornamento, pertanto molti di questi dispositivi probabilmente rimane vulnerabile.
Per dimostrare queste vulnerabilità, Rodriguez ha condiviso un video con WIRED (non pubblicato per le eventuali responsabilità penali) in cui agita uno smartphone sul lettore NFC di un bancomat per strada a Madrid e fa sì che la macchina visualizzi un messaggio di errore. Il lettore NFC sembra bloccarsi e non legge più la sua carta di credito quando la tocca nuovamente alla macchina.
Rodriguez ha testato per anni la sicurezza degli sportelli automatici come consulente, iniziando a esplorare un anno fa se i lettori di carte contactless degli ATM potessero fungere da instradamento per hackerarli. Iniziò ad acquistare lettori NFC e dispositivi POS da eBay e presto scoprì che molti di loro soffrivano dello stesso difetto di sicurezza: non convalidavano la dimensione del pacchetto di dati inviato tramite NFC da una carta di credito al lettore, nota come unità dati del protocollo applicativo o APDU.
Utilizzando un’app personalizzata per inviare un’APDU accuratamente realizzata dal proprio telefono Android abilitato per NFC, il ricercatore è stato in grado di attivare un “buffer overflow”, un tipo di vulnerabilità del software vecchio di decenni che consente un hacker di corrompere la memoria di un dispositivo di destinazione ed eseguire il proprio codice.
Dopo aver tenuto riservate molte delle sue scoperte per un anno intero, Rodriguez prevede di condividere i dettagli tecnici delle vulnerabilità in un webinar nelle prossime settimane, in parte per spingere i clienti dei fornitori interessati a implementare le patch che le aziende hanno reso disponibili.
https://www.wired.com/story/atm-hack-nfc-bugs-point-of-sale/