Mindenki őrizze meg a nyugalmát, bár bankautomaták sebezhetőségeiről lesz szó, nem kizárólag olyasmiről, amit kihasználnak a bűnözők. Tanulságosnak viszont tanulságos, amit Josep Rodriguez, az IOActive biztonsági szakértője megtalált.
Rodriguez szerint az érintős kártyákat is kezelő bankautomaták és fizetési terminálok (POS) összeomlásra késztethető több különböző támadással. Emellett lezárható az ATM egy zsarolóvírus-támadással, vagy ki lehet nyerni lopott kártyaadatokat az eszközökből – írja a The Verge.
A szakértő szerint a jackpotting nevű támadás ellen se védettek. Ez az a támadás, aminek a végén a filmekben látható módon köpni kezdi az automata a pénzt az utcára. Ehhez azonban több támadást és sebezhetőséget kell egyszerre felhasználni.
Az IOActive nem mondhatta el, hogy melyik automatagyártó eszközei érintettek. Illetve videót sem mutatott be a törésről. Mindkettőt a gyártóval kötött titoktartási szerződésre hivatkozva tagadta meg.
Ezekért a hibákért egyetemen buktatás jár
Az NFC a szakértő szerint nagyban megkönnyíti a támadók dolgát. Míg korábban valahogyan fizikailag kellett csatlakoztatni egy, a támadókódot tartalmazó eszközt az automatához, most elég egy androidos telefont leolvastatni az ATM-mel.
A törésről először hírt adó Wirednek egy videót megmutatott a kutató. Egy ATM hibaüzenetet dob fel attól, hogy Rodriguez leolvastatja vele a telefonját. Ezzel egyben ki is üti az ATM-et, az nem ad ki pénzt a továbbiakban. A szakértő szerint az NFC-olvasók egy része azt sem ellenőriz, hogy milyen mennyiségű adatot kap, így könnyű verem túlcsordulásos (buffer overflow) hibákat előidézni. A másik probléma pedig, hogy a gyártók lassan javítják a sebezhetőséget és még lassabban jut el az új kód a bankautomatákig. Rodriguez talált olyan fizetési automatát, amit még meg lehetett bolondítani egy 2018-ban javított hibával.
[…] Amatőr hibák mérgezik a bankautomatákat […]