大数据文摘出品:王野你有多久没有去ATM取款了?由于移动支付的诞生,中国人出门很少带现金。为了跟上“移动化”的趋势,银行的ATM机不断升级,拥有NFC、无卡取款甚至刷脸取款。ATM机从诞生之初就被不法分子垂涎三尺。毕竟提款机里的现金不少,而且附近也没有人值班。这是一个自然吸引犯罪的地方。一般来说,考虑到ATM机被抢的风险,银行会把ATM机打造得非常坚固,但还是有人选择“强行”;当然,有些人选择智取它。近日,一家安全公司的研究人员发现了当前ATM机的NFC功能存在漏洞。利用这个漏洞,可以修改交易金额,甚至可以用ATM直接吐钱。JosepRodriguez是安全公司IOActive的研究员兼顾问,自去年以来一直在挖掘和报告所谓的NFC芯片中的漏洞,这些漏洞已被全球数百万台ATM机利用。在ATM上,NFC允许您在ATM上挥动您的卡,而不是刷卡或插入它来进行支付或从机器上取款。为此,Rodriguez开发了一款Android应用程序,可以让他的智能手机模仿银行卡的NFC通信功能,并利用NFC系统固件中的缺陷侵入ATM或销售点终端。换句话说,罗德里格斯仅使用智能手机就可以侵入ATM或销售点终端,收集和传输银行卡数据,悄悄更改交易金额,甚至锁定设备。Rodriguez表示,他甚至可以强制至少一种品牌的ATM直接支付现金——由于与ATM供应商签订了保密协议,他拒绝详细说明或公开披露这些漏洞。“例如,你可以修改固件并将价格更改为1美元,即使屏幕上显示你要支付50美元。你可以禁用该设备,或者安装某种形式的勒索软件。有很多可能性,”罗德里格斯说。“如果你发起链式攻击并向ATM的处理器发送一个特殊的有效载荷,你可以在ATM中找到一个漏洞——比如提取现金。”Rodriguez作为顾问多年来一直在测试ATM的安全性。性别。他说他一年前就开始探索ATM中的NFC是否可以成为黑客入侵的捷径。NFC阅读器通常由支付技术公司IDtech出售,Rodriguez从eBay购买了NFC阅读器和销售点设备,很快发现其中许多存在相同的安全漏洞——它们没有通过NFC从银行卡数据中进行身份验证发送到阅读器的数据包(APDU)大小。因此Rodriguez创建了一个自定义应用程序,通过他的支持NFC的Android手机将精心制作的APDU发送到比设备预期大数百倍的ATM机或销售点设备,这样Rodriguez就能够触发“缓冲区溢出”,这是一个已有数十年历史的软件缺陷,可让黑客破坏目标设备的内存并运行他们自己的代码。多个ATM供应商受到影响,修补需要很长时间,Verifone、CranePaymentInnovations、BBPOS、Nexgo和一家未具名的ATM供应商。即便如此,他警告说,受影响的系统数量之多,以及许多销售点终端和ATM没有收到定期软件更新并且在许多情况下需要物理访问才能更新的事实,意味着这些设备中的许多可能仍然变得脆弱。“修补数千台自动取款机需要花费大量时间,”罗德里格斯说。为了展示挥之不去的漏洞,罗德里格斯与《连线》杂志分享了一段视频。在其中,他在他居住的马德里街道上的ATM的NFC领域挥动了智能手机,并导致机器显示错误消息。罗德里格斯要求《连线》杂志不要发布视频,以免承担法律责任。他也没有提供劫持攻击的视频演示,因为他说他只能在IOActive为受影响的ATM供应商提供安全咨询的机器上进行合法测试,IOActive已与该供应商签署了保密协议。知名固件黑客、安全公司SRLabs的创始人卡斯滕·诺尔(KarstenNohl)评论了罗德里格斯的工作,他说这些发现是“对嵌入式设备上运行的软件漏洞的出色研究”。”。但Knoll也指出了这一发现的一些局限性,这使得它不太可能在现实世界中被犯罪分子利用。Knoll指出,受感染的NFC读取器只能从信用卡的磁条中窃取数据,而不能从受害者的PIN或EMV芯片中窃取数据。事实上,ATM取款还需要目标ATM代码中存在额外的、明显的漏洞。当《连线》联系受影响的公司时,IDTech、BBPOS和Nexgo没有回应置评请求,ATM行业协会拒绝置评。Ingenico在一份声明中回应说,由于其安全缓解措施,Rodriguez的缓冲区溢出技术只能使设备崩溃,而不会执行攻击代码,但是,“鉴于给我们的客户带来的不便和影响的重大影响”,Ingenico无论如何发布了一个补丁。说它已经发现并修复了Rodriguez在Rodriguez的报告之前很久就指出的漏洞。但Rodriguez说他去年在一家餐馆的Verifone设备上测试了他的NFC攻击技术,发现它仍然容易受到攻击。在将其保密一段时间后全年,Rodriguez计划在未来几周的网络研讨会中分享该漏洞的技术细节,部分原因是为了引起受影响供应商的客户的注意。他希望引起更广泛的关注嵌入式设备安全状况不佳,已经发现许多常用设备(处理人们敏感的财务信息的设备)中存在像缓冲区溢出一样简单的漏洞信息。“这些漏洞已经存在多年,我们每天都使用这些设备来处理我们的信用卡和资金,”他说。“他们需要受到保护。”【本文为栏目组织大数据文摘原创翻译,微信公众号“大数据文摘(id:BigDataDigest)”】点此查看作者更多好文
