- 一名安全研究人员能够通过简单地挥舞手机来入侵自动取款机和POS系统。
- 他利用一系列的漏洞操纵机器。
- 他能够使机器崩溃,从机器中收集信用卡数据,甚至使一些自动取款机自动吐钱。
许多人可能都幻想过不插卡直接从自动取款机取钱。甚至有人尝试了各种方法,现在,有一位研究人员成功地入侵了自动取款机和其他POS机器。
IOActive的安全顾问Joseph Rodriguez利用了广泛存在于商场、餐馆和零售店的ATM和POS系统的NFC系统中的一个缺陷。他用一部带有NFC功能的手机和一个自己设计的安卓应用程序感染了这些机器的NFC读卡器芯片,让它们崩溃,就可以利用这些机器来收集信用卡数据,无形中改变交易金额,甚至使一些ATM机自动吐出现金。
"你可以修改固件,将价格改为一美元,例如,即使屏幕上显示你要支付50美元。你可以让设备失去作用,或者安装一种勒索软件,有很多可能性,"Rodriguez告诉记者,"如果你把攻击连在一起,同时向自动取款机的电脑发送一个特殊的有效载荷,你就可以通过点击你的手机,获得类似自动取款机自动吐钱这样的大奖。"
Rodriguez通过从eBay购买NFC读卡器和POS设备,开始研究如何入侵ATM机非接触式读卡器。很快他发现,许多设备没有验证'通过NFC从信用卡发送至读卡器的数据包'的大小。他使设计了一个安卓应用程序,发送了一个比机器预期大数百倍的数据包,从而触发了 "缓冲区溢出",这是一个有几十年历史的软件漏洞,允许攻击者破坏设备的内存并运行自己的代码。
他大约在一年前就把这个安全漏洞通知了受影响的品牌和供应商,但他说,需要进行物理修补的设备数量庞大,需要大量的时间。许多POS终端没有得到定期的软件更新,使这个漏洞更加危险。
这位研究人员将他的大部分发现隐藏了一年,但现在分享了有关的技术细节,希望推动受影响的供应商实施修补程序。
