Исследователь безопасности Хосеп Родригес создал приложение для Android, которое позволяет его смартфону использовать обнаруженные им недостатки в прошивке системы NFC, которая дает возможность обмена данными между устройствами на близком расстоянии, сообщает портал Wired.
С помощью технологии NFC для проведения платежа или вывода денег из банкомата не нужно вставлять карту — достаточно просто приложить ее или телефон к считывателю. Технология получила широкое распространение и работает почти во всех торговых точках по всему миру.
Благодаря найденным в этой системе ошибкам Родригес может взламывать POS-терминалы, а также использовать их для сбора и передачи данных кредитных карт, незаметного изменения стоимости транзакций, полной блокировки устройства и отображения на его экране любого сообщения.
«Вы можете поменять прошивку терминала оплаты, изменить цену, отключить его или установить туда программу-вымогатель. Возможностей более чем достаточно», — говорит Родригес.
Также Родригес заявил, что может заставить некоторые банкоматы выдавать ему наличные деньги — такой способ воровства он назвал «джекпотинг».
«Выстроив цепочку атак, а также отправив специальную полезную нагрузку на компьютер банкомата, вы сможете снять деньги с банкомата, как джекпот, просто проведя телефоном над NFC-считывателем», — отмечает исследователь.
Однако это работает лишь в сочетании с дополнительными ошибками, которые он обнаружил в программном обеспечении банкоматов. Раскрывать подробности об уязвимостях он отказался из-за соглашений о неразглашении.
В качестве демонстрации Родригес поделился двумя видеозаписями с Wired. В одном ролике он держит смартфон над считывателем NFC POS-терминала, и выводит на экран сообщение об ошибке, ломая сканер, а во втором обналичивает деньги с банкомата.
По словам исследователя, год назад он предупредил об ошибках компании, занимающиеся установкой банкоматов и POS-терминалов, в их число вошли ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPO и Nexgo.
Однако миллионы устройств по всему миру все еще находятся в опасности, так как для установки обновления безопасности нужен физический доступ к терминалу или банкомату.
Это означает, что многие из этих устройств, вероятно, так и останутся уязвимыми.
«Физическое исправление сотен тысяч банкоматов потребует очень много времени»,— отмечает Родригес.
Ранее исследователи кибербезопасности обнаружили критические уязвимости в мобильных терминалах — они позволяли злоумышленникам получить доступ к данным кредитных и дебетовых карт, с которых оплачивались покупки.