Molte persone hanno probabilmente fantasticato di ottenere più soldi da un bancomat di quanti ne abbiano nei loro conti bancari. Alcuni hanno persino provato con successo tutti i tipi di metodi per sfruttare gli sportelli automatici armeggiare fisicamente con l’hardware delle macchine. Ma ora, un ricercatore è riuscito a hackerare sportelli bancomat e altri distributori automatici (POS) semplicemente agitando il telefono su un lettore di carte contactless.
Secondo Wired, Joseph Rodriguez, un consulente di sicurezza presso IOActive, è riuscito a sfruttare un difetto nel sistema NFC di bancomat e sistemi POS che si trovano ampiamente nei centri commerciali, ristoranti e negozi al dettaglio. Ha usato un telefono con NFC e un’app Android che ha progettato per infettare i chip del lettore NFC di queste macchine con una varietà di bug per bloccarli, hackerarli per raccogliere dati della carta di credito, modificare invisibilmente il valore delle transazioni e persino “jackpot”. ” alcuni bancomat a sputare contanti. Tuttavia, l’ultimo exploit ha richiesto anche la manipolazione delle vulnerabilità esistenti nel software degli ATM.
“Puoi modificare il firmware e cambiare il prezzo a un dollaro, per esempio, anche quando lo schermo mostra che stai pagando 50 dollari. Puoi rendere il dispositivo inutilizzabile o installare una sorta di ransomware. Ci sono molte possibilità qui”, ha detto Rodriguez a Wired . “Se concateni l’attacco e invii anche un payload speciale al computer di un bancomat, puoi vincere un jackpot simile a un bancomat, semplicemente toccando il tuo telefono”, ha aggiunto.
Rodriguez ha iniziato la sua ricerca sulla capacità di hackerare i lettori di carte contactless dei bancomat acquistando lettori NFC e dispositivi POS da eBay. Scoprì presto che molti di loro non convalidavano la dimensione del pacchetto di dati inviato tramite NFC da una carta di credito al lettore. Utilizzando un’app Android personalizzata, ha inviato un pacchetto di dati centinaia di volte più grande di quanto previsto dalla macchina, innescando così un “buffer overflow”, una vulnerabilità software vecchia di decenni che consente a un utente malintenzionato di corrompere la memoria di un dispositivo ed eseguire il proprio codice.
Rodriguez ha informato i marchi e i fornitori interessati della vulnerabilità della sicurezza circa un anno fa, ma afferma che il numero di dispositivi che devono essere riparati fisicamente è enorme e richiederà molto tempo. Il fatto che molti terminali POS non ricevano aggiornamenti software regolari rende questo difetto ancora più pericoloso.
Il ricercatore ha tenuto nascosta la maggior parte delle sue scoperte per un anno, ma ora cerca di condividere i dettagli tecnici su di esse per spingere i fornitori interessati a implementare le patch.