384
与非网7月1日讯 由于移动支付的诞生,中国民众现在出门很少带现金了,为了跟上“移动化”的潮流,银行的ATM机经过不断升级已经有了NFC、无卡取款甚至是刷脸取款。
从诞生之初,ATM就一直被不法分子觊觎,毕竟ATM里面有大量现金,附近还无人值守,是一个天然吸引犯罪的地方。
一般来说,银行在考虑到ATM存在被抢风险的情况下,都会把ATM机建造的很坚固,但是依然有人选择“硬来”;
当然,也有人选择智取。近期,一位安全公司的研究人员发现了现在ATM机中NFC功能的漏洞,利用这个漏洞,可以修改交易金额,甚至可以让ATM直接吐钱。
近日,安全研究员Josep Rodriquez公布了一个ATM漏洞,利用这个漏洞,可以随意修改交易金额,甚至可以让ATM直接吐钱出来。
为了顺应时代发展,银行ATM近年来频频升级,取现方式不再需要银行卡,可以使用无卡取款、NFC取款,甚至是刷脸取款。
虽然这些取款方式更方便了,但也埋下了一些安全隐患。
知名安全公司IOActive的研究员Josep Rodriquez从去年开始,一直在挖掘和报告NFC芯片的漏洞。
Rodriquez曾经在eBay上买了一个有NFC功能的设备,经过一小段时间的研究,他很快发现了一些安全漏洞。比如没有验证NFC从银行卡发送到读卡器数据包的大小。
这一漏洞极其危险,黑客可以发动“缓冲区溢出”攻击,精心制作一个大几百倍的数据包,发送给该设备。这一设备会因为内存遭到严重破坏,进而导致程序运行失败、系统宕机、重启,甚至是执行非授权指令、获得系统控制权以及其他非法操作。
Rodriquez警告说,许多现代的ATM或者销售点系统汇总使用的NFC很容易受到攻击,它们中存在的一些漏洞,会被黑客入侵以提取一些信用卡数据,甚至是利用ATM提现。
Rodriquez分享一个视频,视频中,他在ATM上挥了挥手机,就使ATM显示出了一条错误信息,之后ATM竟然对真实的插卡取款没有了反应。
为了说明这些NFC设备上的漏洞,极易遭受攻击。Rodriquez开发了一个简单的安卓App,可以让他的手机模仿银行卡的NFC通信功能,并入侵ATM机。
换句话说,如果Rodriquez愿意,他可以悄悄改变交易的数额,比如存入1美元,ATM却认为他存了100万美元,或者以账户少了1美元的代价,取出大量的现金。
甚至,他还可以利用这一漏洞,悄悄给ATM机安装勒索软件……
Rodriquez表示,他从1年前开始,就陆陆续续通知存在这一漏洞的ATM供应商,比较知名的包括Tech、Ingenico、Verifone、Crane Payment Innovations等等。
但是对于修复漏洞,他比较悲观。
他通知的其中一家ATM供应商Verifone公司向他表示,这个漏洞他们已经在2018年时就修复了。
然而Rodriquez发现,他去年在一家餐馆旁的Verifone设备上测试,漏洞依然存在。
ATM机与电脑、手机等终端设备不同,许多ATM机都不会定期接收软件更新,而且很多情况下需要物理访问才能更新。
这样的ATM全世界一共有数百万台,一台一台更新需要大量的时间……
Ingenico公司在一份声明中回应说,由于它的安全缓解措施,罗德里格斯的缓冲区溢出技术只能使其设备崩溃,而不能执行攻击代码,但是,“考虑到给我们的客户带来的不便和影响,”Ingenico还是发布了一个补丁。
Verifone公司则表示,早在罗德里格斯报告之前,他们就已经发现并修复了罗德里格斯在2018年指出的漏洞。但罗德里格斯说,他去年在一家餐馆的Verifone设备上测试了他的NFC攻击技术,发现它仍然很脆弱。
在保密了整整一年之后,罗德里格斯计划在未来几周的网络研讨会上分享漏洞的技术细节,部分原因是为了让受影响厂商的客户引起重视。他希望更广泛地呼吁人们关注嵌入式设备安全的糟糕状况,他发现,像缓冲溢出这样简单的漏洞存在于如此之多的常用设备中ーー这些设备正处理着人们敏感的财务信息。
“这些漏洞已经存在多年,我们每天都在使用这些设备来处理我们的信用卡,我们的钱,”他说。“它们需要得到保护。”
