信用:由摩托罗拉提供
- 一名安全研究人员能够通过简单地挥舞他的手机入侵自动取款机和销售点系统。
- 他利用一系列的漏洞来操纵机器,并触发一个十年前的软件漏洞。
- 他的伎俩使他能够使机器崩溃,从机器中收集信用卡数据,甚至使一些自动取款机 "中奖"。
许多人可能都幻想过从自动取款机中得到比他们银行账户中更多的钱。有些人甚至已经成功地尝试了各种方法,通过对机器的硬件进行物理修补来利用ATM机。但是现在,一位研究人员已经成功地入侵了自动取款机和其他销售点(POS)机器,只需在一个非接触式读卡器上挥动他的手机。
根据 连线IOActive的安全顾问Joseph Rodriguez设法利用了广泛存在于商场、餐馆和零售店的ATM和POS系统的NFC系统中的一个缺陷。他用一部带有NFC功能的手机和一个他设计的安卓应用程序感染了这些机器的NFC读卡器芯片,使其崩溃,黑客收集信用卡数据,无形中改变交易金额,甚至使一些ATM机 "中奖",吐出现金。然而,最后一个漏洞也需要操纵ATM机软件中的现有漏洞。
"你可以修改固件,将价格改为一美元,例如,即使屏幕上显示你要支付50美元。你可以让设备失去作用,或者安装一种勒索软件。这里有很多可能性,"罗德里格斯告诉《连线》_。"_如果你把攻击连在一起,同时向自动取款机的电脑发送一个特殊的有效载荷,你就可以通过点击你的手机,获得类似自动取款机的大奖,"他补充说。
罗德里格斯通过从eBay购买NFC读卡器和销售点设备,开始研究入侵ATM机非接触式读卡器的能力。他很快发现,其中许多设备没有验证通过NFC从信用卡发送至读卡器的数据包的大小。他使用一个定制的安卓应用程序,发送了一个比机器预期大数百倍的数据包,从而触发了 "缓冲区溢出",这是一个有几十年历史的软件漏洞,允许攻击者破坏设备的内存并运行自己的代码。
罗德里格斯大约在一年前就把这个安全漏洞通知了受影响的品牌和供应商,但他说,需要进行物理修补的设备数量庞大,将需要大量的时间。许多POS终端没有得到定期的软件更新,这一事实使这个漏洞更加危险。
这位研究人员将他的大部分发现隐藏了一年,但现在盘算着分享有关的技术细节,以推动受影响的供应商实施修补程序。
