Il ricercatore di sicurezza lancia un allarme sulle vulnerabilità del lettore NFC ATM

Il ricercatore di sicurezza IOActive Josep Rodriquez ha avvertito che i lettori NFC utilizzati in molti moderni bancomat e sistemi POS li rendono vulnerabili agli attacchi, Cablata rapporti. I difetti li rendono vulnerabili a una serie di problemi, tra cui essere bloccati da un dispositivo NFC nelle vicinanze, bloccati come parte di un attacco ransomware o persino violati per estrarre determinati dati della carta di credito.

Rodriquez avverte anche che le vulnerabilità potrebbero essere utilizzate come parte di un cosiddetto attacco “jackpotting” per indurre una macchina a sputare denaro. Tuttavia, un tale attacco è possibile solo se associato a exploit di bug aggiuntivi e Cablata dice che non è stato in grado di visualizzare un video di un tale attacco a causa dell’accordo di riservatezza di IOActive con il fornitore ATM interessato.

Basandosi sulle vulnerabilità nei lettori NFC delle macchine, gli hack di Rodriquez sono relativamente facili da eseguire. Mentre alcuni attacchi precedenti si sono basati sull’utilizzo di dispositivi come gli endoscopi medici per sondare le macchine, Rodriquez può semplicemente agitare un telefono Android che esegue il suo software di fronte al lettore NFC di una macchina per sfruttare eventuali vulnerabilità che potrebbe avere.

In un video condiviso con Cablata, Rodriquez fa sì che un bancomat di Madrid visualizzi un messaggio di errore, semplicemente agitando il suo smartphone sul lettore NFC. La macchina quindi non rispondeva alle vere carte di credito mostrate al lettore.

La ricerca evidenzia un paio di grossi problemi con i sistemi. Il primo è che molti lettori NFC sono vulnerabili ad attacchi relativamente semplici, Cablata rapporti. Ad esempio, in alcuni casi i lettori non stanno verificando la quantità di dati che stanno ricevendo, il che significa che Rodriquez è stato in grado di sopraffare il sistema con troppi dati e corromperne la memoria come parte di un attacco “buffer overflow”.

Il secondo problema è che anche una volta identificato un problema, le aziende possono essere lente nell’applicare una patch alle centinaia di migliaia di macchine in uso in tutto il mondo. Spesso una macchina deve essere visitata fisicamente per applicare un aggiornamento e molti non ricevono patch di sicurezza regolari. Una società ha affermato che il problema evidenziato da Rodriquez è stato corretto nel 2018, ad esempio, ma il ricercatore afferma di essere stato in grado di verificare che l’attacco abbia funzionato in un ristorante nel 2020.

Rodriguez prevede di presentare le sue scoperte come parte di un webinar nelle prossime settimane per evidenziare quelle che, secondo lui, sono le scarse misure di sicurezza dei dispositivi incorporati.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.