ИБ-эксперт нашел способ взломать платежный терминал, просто помахав телефоном

[Artifact]

Исследователь создал Android-приложение, позволяющее эксплуатировать уязвимости в прошивке систем с поддержкой NFC.

Специалист компании IOActive Жузеп Родригез обнаружил ряд уязвимостей в технологии NFC, позволяющих взломать банкоматы и платежные терминалы, просто помахав смартфоном перед бесконтактным кард-ридером, пишет Wired.
Для этой цели эксперт создал Android-приложение, с помощью которого его смартфон может имитировать радиокоммуникации кредитных карт и эксплуатировать уязвимости в прошивке систем с поддержкой NFC. По словам Родригеза, просто помахав телефоном, он может проэксплуатировать проблемы и вызвать отказ в обслуживании PoS-терминалов, взломать их и собрать и передать данные кредитных карт, незаметно изменить значение транзакций и даже заблокировать устройство и отобразить на его экране уведомление с требованием выкупа.
Более того, исследователь говорит, что возможно заставить банкоматы (по крайней мере одного производителя) выдавать наличку, хотя этот метод работает только совместно с эксплуатацией других уязвимостей, которые он нашел в прошивке банкомата.
Изучая NFC и платежные терминалы, Родригез обнаружил, что все они подвержены одной и той же уязвимости – устройства не проверяют размер пакета данных, отправленного через NFC с кредитной карты на ридер (application protocol data unit, APDU).
APDU - формат общения карты и терминала. Терминал посылает Command APDU (C-APDU), а карта отвечает с Response APDU (R-APDU).
С помощью созданного им приложения исследователь отправил специально сформированный APDU-запрос со смартфона на ридер и спровоцировал переполнение буфера.
«Вы можете модифицировать прошивку и изменить цену, например, на один доллар, даже если экран показывает, что вы платите пятьдесят долларов. Вы можете сделать устройство бесполезным или установить какое-то вымогательское ПО. Существует множество возможностей. Если вы проведете атаку и отправите специальную полезную нагрузку на компьютер банкомата, то сможете получить наличные, просто коснувшись экрана смартфона», - говорит Родригез.
Специалист проинформировал производителей уязвимых устройств, в числе которых ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS и Nexgo, о проблемах несколько месяцев назад. ID Tech, BBPOS и Nexgo не отреагировали на запрос Wired. Представители производителя карточных терминалов Ingenico сообщили, что уязвимости, описанные Родригезом, позволяют только вызвать сбой в работе устройств, но не выполнение кода. Тем не менее, компания уже выпустила соответствующее исправление.