We use cookies to ensure that we give you the best experience on our website.

ハッカーがスマートフォンの NFC を介して券売機をハッキングすることに成功

IOActive 社の「ホワイトハット」ハッカーが、NFC リーダーを備えた ATM に重大なセキュリティ上の欠陥を発見した経緯を説明しています。同氏によると、ディスペンサーメーカーはこのコンポーネントのセキュリティを無視しており、バッファオーバーフロー攻撃を慎重に実行できるほどだという。

クレジット: アンスプラッシュ

ATM セキュリティは、さまざまな方法で想像力を掻き立てます。ここには非常にユニークな安全装置があります。公共の場所に設置されている間、通貨を物理的に保護し、コンピュータ攻撃から保護します。

数年間さまざまな研究者は、これらのディストリビュータのセキュリティが完全なものではないことを示しています。。しかし、これまでの攻撃は、筐体の下に隠された USB ポート、さらには内部コンポーネントへのアクセスに依存していました。したがって、悪意のある人物が白昼堂々とこの種の攻撃を実行することを想像するのは困難です。

研究者がATMを攻撃する不穏な方法を発見

特に、これらのデバイスが通常ビデオ監視下にあることを考慮すると、なおさらです。他の攻撃、特にネットワーク攻撃の可能性があります。ただし、銀行が導入したセキュリティ対策を考慮して、攻撃の作成者が検出される危険にさらされる一方で、ターゲットの配布者の特徴についての正確な知識が必要です。

セキュリティ会社 IOActive のコンサルタントであるジョセップ・ロドリゲスは、私たちが「ホワイトハット」または倫理的ハッカーと呼ぶものです。彼はこれらの販売代理店のセキュリティに長い間興味を持っていました。NFCテクノロジーも。さて、あなたは間違いなく次のことに気づいたでしょう。一部のディストリビューターには NFC リーダーが付属しています

これはすべての銀行で使用されているわけではありませんが、ジョセップ・ロドリゲス氏の説明によれば、これは機械に入る入り口ドアを大きく開ける何年も前から知られているセキュリティ上の脆弱性が原因です。実際、彼は簡単なスマートフォンを介して、ディストリビュータの NFC リーダーを介した、いわゆる「バッファ オーバーフロー」攻撃

このタイプの攻撃が機能するのは、ディストリビュータのオペレーティング システムが NFC 経由で入力できるデータ量を制限していないためです。データ量が RAM に割り当てられたスペースを超えると、データはシステムの他の部分で使用されている隣接するメモリ アドレスに引き続き書き込まれます。少しリバース エンジニアリングを行うことで、ターゲット マシン上で必要なほぼすべてのことを実行できるようになります。

流通しているすべての ATM の NFC セキュリティ上の欠陥を修正するには時間がかかる

たとえば、彼は、リーダーを通過するすべての銀行カード番号を記録するようにマシンに指示し、その場で取引金額を変更し、少なくとも 1 つのケースでは、ディストリビュータにコンテンツのすべてを配信するよう強制することができました (また、 「ジャックポッティング」として知られる攻撃)。 Wired は次のように説明しています。

「ロドリゲスは、スマートフォンがクレジット カードの無線通信を模倣し、システムの NFC ファームウェアの欠陥を悪用できる Android アプリケーションを構築しました。スマートフォンを振ることで、さまざまなバグを悪用して ATM をクラッシュさせたり、ATM をハッキングしてクレジット カード データを収集および送信したり、取引金額を目に見えず変更したり、ランサムウェア メッセージを表示しながらデバイスをロックしたりすることさえできます。」

このセキュリティ研究者は、ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo、さらに深刻なセキュリティ侵害のため正体不明のベンダーを含むメーカーに対し、7か月から1年前にこの問題について警告した。しかし、彼らに迅速な行動を強制するために、彼はすでに、今後数週間以内に技術的な詳細を開示すると発表した。

関係するメーカーが、流通しているすべてのデバイスのセキュリティ上の欠陥を実際に解決することが技術的に可能かどうかは、まだわかりません。。ジョセップ・ロドリゲス自身もこれを認めています。「数十万台の ATM に物理的にパッチを適用するには、かなりの時間がかかります。」

こちらもお読みください:Android – NFC を使用してスマートフォンをハッキングできるバグ

攻撃のデモンストレーションは、銀行システムのセキュリティが脆弱な場合がある米国ではなく、ヨーロッパのマドリッドで行われたことに注意してください。研究者は次のように結論づけています。「これらの脆弱性はファームウェアに何年も前から存在しており、私たちはクレジット カードやお金を管理するためにこれらのデバイスを毎日使用してきました。より安全なものにする必要があります。」

ソース :有線

Also Read