Falha em NFC permite hackear caixas eletrônicos

Views: 313
0 0
Read Time:2 Minute, 11 Second

Josep Rodriguez explicou em entrevista que consegue fazer buffer overflow em ATMs e leitoras de cartão POS

Josep Rodriguez, especialista em segurança da empresa espanhola IOActive, esperou um ano para poder revelar uma série de vulnerabilidades existentes na tecnologia NFC que permitem a uma pessoa hackear caixas eletrônicos e terminais de pagamento simplesmente agitando um smartphone na frente do leitor de cartão contactless. Suas descobertas foram publicadas pela revista Wired na última quinta-feira, dia 24.

Como prova de conceito, o especialista criou um aplicativo Android com o qual seu smartphone pode simular comunicações de rádio de cartão de crédito e explorar vulnerabilidades no firmware de sistemas habilitados para NFC. Simplesmente agitando seu telefone, Rodriguez disse que pode explorar as falhas e causar negação de serviço a terminais de PDV, hackeá-los, coletando e transferindo dados de cartão de crédito, como pode também alterar o valor das transações e até mesmo bloquear o dispositivo, exibindo uma notificação de resgate em sua tela.

O pesquisador disse que é possível inclusive força o ATM de pelo menos um fabricante a dispensar dinheiro, embora esse método só funcione em conjunto com a exploração de outras vulnerabilidades que encontrou no firmware do ATM.

Estudando NFC e terminais de pagamento, Rodriguez descobriu que todos estão sujeitos à mesma vulnerabilidade – os dispositivos não verificam o tamanho do pacote de dados enviado pelo NFC do cartão de crédito para o leitor (unidade de protocolo de dados de aplicativo, APDU).

O APDU é um formato de comunicação entre um cartão e um terminal. O terminal envia um APDU de Comando (C-APDU) e o cartão devolve um APDU de Resposta (R-APDU).

Usando o aplicativo que criou, o pesquisador enviou uma solicitação de APDU especialmente formada do smartphone para o leitor e provocou um estouro de buffer no ATM (buffer overflow).

“Você pode modificar o firmware e mudar o preço, por exemplo, em um dólar, mesmo que a tela mostre que você está pagando cinquenta dólares. Você pode tornar o dispositivo inútil ou instalar algum ransomware. Existem muitas possibilidades. Se você realizar um ataque e enviar uma carga especial para o computador do caixa eletrônico, poderá sacar apenas tocando na tela do smartphone”, disse Rodriguez na entrevista à Wired.

Há vários meses o especialista informou o problema aos fabricantes de dispositivos vulneráveis, incluindo ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS e Nexgo. Representantes do fabricante de terminais para cartões Ingenico disseram que as vulnerabilidades descritas por Rodriguez podem apenas causar uma falha do dispositivo, mas não a execução do código. No entanto, a empresa já lançou uma correção para o problema.

FONTE: CISO ADVISOR

POSTS RELACIONADOS