Исследователь в области кибербезопасности обнаружил ряд багов, позволяющих взломать банкоматы и POS-терминалы.
Американский ученый-исследователь в области кибербезопасности, специалист из компании IOActive, Джозеф Родригес обнаружил ряд багов (дефектов), позволяющих взломать банкоматы и POS-терминалы по всему миру, передает inbusiness.kz со ссылкой на anti-malware.ru.
Отмечается, что система NFC позволяет миллионам людей по всему миру бесконтактно оплачивать товары своей картой.
«Учитывая эту особенность и нюансы работы NFC, Родригес написал Android-приложение, позволяющее смартфону имитировать взаимодействие с банковской картой. Программа эксперта эксплуатирует уязвимости в прошивке NFC-систем. Просто проведя телефоном у банкомата или терминала, Родригес мог использовать ряд багов, позволяющих в результате взломать эти устройства, привести к сбою в их работе или же изменить данные транзакции», – сообщили в службе реагирования на компьютерные инциденты Казахстана.
Более того, эксплуатация этих дыр может привести к блокировке ATM, после чего можно потребовать выкуп.
По словам Родригеса, ему удалось заставить банкомат одного из производителей «выплюнуть» деньги – так называемая «атака джекпота». Специалист отказался раскрыть детали использованных уязвимостей, чтобы не нарушать договор между ним и производителями банкоматов.
«Вы можете модифицировать прошивку и изменить, например, цену на один доллар, хотя на дисплее будет отображаться, скажем, 50 долларов. Вы также можете превратить устройство в кирпич или установить какую-либо программу-вымогатель. Там много возможностей, на самом деле», – объясняет Родригес.
«А если вы свяжете атаку с отправкой специального пейлоада компьютеру банкомата, вы сможете провести атаку джекпотинга». Специалист уведомил производителей, чьи банкоматы затронуты проблемой: ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo.
Источник inbusiness.kz