安全專家發現ATM機NFC功能漏洞,僅用一臺手機就可改變金額,甚至強制提現!
大數據文摘出品
作者:王燁
你有多久沒去ATM取過錢了?
由于移動支付的誕生,中國民眾現在出門很少帶現金了,為了跟上“移動化”的潮流,銀行的ATM機經過不斷升級已經有了NFC、無卡取款甚至是刷臉取款。
從誕生之初,ATM就一直被不法分子覬覦,畢竟ATM里面有大量現金,附近還無人值守,是一個天然吸引犯罪的地方。
一般來說,銀行在考慮到ATM存在被搶風險的情況下,都會把ATM機建造的很堅固,但是依然有人選擇“硬來”;
當然,也有人選擇智取。近期,一位安全公司的研究人員發現了現在ATM機中NFC功能的漏洞,利用這個漏洞,可以修改交易金額,甚至可以讓ATM直接吐錢。
安全顧問入侵ATM機多,修改金額只需一部手機
安全公司IOActive的研究員和顧問何塞普·羅德里格斯(Josep Rodriguez)去年開始一直在挖掘和報告所謂的NFC芯片的漏洞,這些芯片被用于全球數百萬臺ATM機。
在ATM機上,NFC功能可以讓你在ATM機上揮動銀行卡,而不是刷卡或插入銀行卡,從而進行支付或從提款機中取錢。
為此,羅德里格斯開發了一個Android應用程序,可以讓他的智能手機模仿銀行卡的NFC通信功能,并利用NFC系統固件中的缺陷入侵ATM機或者銷售點終端。
也就是說,僅僅利用一部智能手機,羅德里格斯就可以侵入ATM機或者銷售點終端收集和傳輸銀行卡數據,悄悄地改變交易數額,甚至鎖定設備。
羅德里格斯說,他甚至可以強迫至少一個品牌的ATM機直接支付現金ーー由于與ATM供應商簽訂了保密協議,他拒絕詳細說明或公開披露這些漏洞。
“例如,你可以修改固件并將價格改為1美元,即使屏幕顯示你要支付50美元。你可以使設備失效,或者安裝一種勒索軟件。這有很多可能性,”羅德里格斯表示,“如果你發動連鎖攻擊,并向ATM機的處理器發送一個特殊的有效載荷,你就可以在ATM機上找到突破口——比如提現。”
羅德里格斯擔任顧問多年來一直在測試ATM機的安全性。他表示,一年前他開始探索ATM機的NFC是否可以成為黑客入侵的捷徑。
NFC讀卡器通常由支付技術公司ID tech銷售,羅德里格斯從eBay上購買NFC閱讀器和銷售點設備,很快發現其中許多都有同樣的安全缺陷——他們沒有驗證通過NFC從銀行卡發送到讀卡器的數據包(APDU)大小。
因此,羅德里格斯創建了一個定制的應用程序,通過他的支持NFC的Android手機向ATM機或銷售點設備發送一個精心制作的APDU,這個程序比設備預期的要大幾百倍,這樣,羅德里格斯能夠觸發一個“緩沖區溢出”(buffer overflows),這是一種有幾十年歷史的軟件漏洞,黑客可以利用該漏洞破壞目標設備的內存,并運行自己的代碼。
多家ATM機供應商受影響,打補丁需要很長時間
羅德里格斯說,他在7個月至1年前通知了受影響的ATM機和銷售點終端供應商,其中包括ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo,以及未透露姓名的ATM供應商。
即便如此,他警告稱,受影響的系統數量之多,以及許多銷售點終端和ATM機不會定期接收軟件更新,而且在許多情況下需要物理訪問才能進行更新,這意味著這些設備中的許多可能仍然容易受到攻擊。
羅德里格斯說:“給成千上萬的自動取款機打補丁,這需要很多時間。”
為了展示這些揮之不去的漏洞,羅德里格斯與《連線》雜志分享了一段視頻,視頻中,他在自己居住的馬德里街頭的一臺ATM機的NFC感應區上揮舞一部智能手機,并讓這臺機器顯示一條錯誤信息。
羅德里格斯要求《連線》雜志不要發布這段視頻,因為擔心承擔法律責任。他也沒有提供劫機攻擊的視頻演示,因為他說,他只能在IOActive向受影響的ATM供應商提供安全咨詢的機器上進行合法測試,IOActive已經與該供應商簽署了保密協議。
安全公司SRLabs的創始人、著名的固件黑客卡斯滕·諾爾(Karsten Nohl)回顧了羅德里格斯的工作,他說,這些發現是“對嵌入式設備上運行的軟件脆弱性的極好研究”。但是諾爾也指出了這項發現的一些局限性,正是這些局限降低了它在現實世界中被不法分子利用的可能性。
諾爾指出,被入侵的NFC讀卡器只能竊取信用卡的磁條數據,而不能竊取受害者的個人識別碼或EMV芯片中的數據。事實上,ATM提現還要求目標ATM的代碼有一個額外的、明顯的漏洞。
當《連線》聯系受影響的公司時,ID Tech、BBPOS和Nexgo沒有回應置評請求,ATM行業協會也拒絕置評。
Ingenico公司在一份聲明中回應說,由于它的安全緩解措施,羅德里格斯的緩沖區溢出技術只能使其設備崩潰,而不能執行攻擊代碼,但是,“考慮到給我們的客戶帶來的不便和影響,”Ingenico還是發布了一個補丁。
Verifone公司則表示,早在羅德里格斯報告之前,他們就已經發現并修復了羅德里格斯在2018年指出的漏洞。但羅德里格斯說,他去年在一家餐館的Verifone設備上測試了他的NFC攻擊技術,發現它仍然很脆弱。
在保密了整整一年之后,羅德里格斯計劃在未來幾周的網絡研討會上分享漏洞的技術細節,部分原因是為了讓受影響廠商的客戶引起重視。他希望更廣泛地呼吁人們關注嵌入式設備安全的糟糕狀況,他發現,像緩沖溢出這樣簡單的漏洞存在于如此之多的常用設備中ーー這些設備正處理著人們敏感的財務信息。
“這些漏洞已經存在多年,我們每天都在使用這些設備來處理我們的信用卡,我們的錢,”他說。“它們需要得到保護。”
【本文是51CTO專欄機構大數據文摘的原創譯文,微信公眾號“大數據文摘( id: BigDataDigest)”】
