與非網(wǎng)7月1日訊 由于移動(dòng)支付的誕生,中國民眾現(xiàn)在出門很少帶現(xiàn)金了,為了跟上“移動(dòng)化”的潮流,銀行的ATM機(jī)經(jīng)過不斷升級(jí)已經(jīng)有了NFC、無卡取款甚至是刷臉取款。
從誕生之初,ATM就一直被不法分子覬覦,畢竟ATM里面有大量現(xiàn)金,附近還無人值守,是一個(gè)天然吸引犯罪的地方。
一般來說,銀行在考慮到ATM存在被搶風(fēng)險(xiǎn)的情況下,都會(huì)把ATM機(jī)建造的很堅(jiān)固,但是依然有人選擇“硬來”;
當(dāng)然,也有人選擇智取。近期,一位安全公司的研究人員發(fā)現(xiàn)了現(xiàn)在ATM機(jī)中NFC功能的漏洞,利用這個(gè)漏洞,可以修改交易金額,甚至可以讓ATM直接吐錢。
近日,安全研究員Josep Rodriquez公布了一個(gè)ATM漏洞,利用這個(gè)漏洞,可以隨意修改交易金額,甚至可以讓ATM直接吐錢出來。
為了順應(yīng)時(shí)代發(fā)展,銀行ATM近年來頻頻升級(jí),取現(xiàn)方式不再需要銀行卡,可以使用無卡取款、NFC取款,甚至是刷臉取款。
雖然這些取款方式更方便了,但也埋下了一些安全隱患。
知名安全公司IOActive的研究員Josep Rodriquez從去年開始,一直在挖掘和報(bào)告NFC芯片的漏洞。
Rodriquez曾經(jīng)在eBay上買了一個(gè)有NFC功能的設(shè)備,經(jīng)過一小段時(shí)間的研究,他很快發(fā)現(xiàn)了一些安全漏洞。比如沒有驗(yàn)證NFC從銀行卡發(fā)送到讀卡器數(shù)據(jù)包的大小。
這一漏洞極其危險(xiǎn),黑客可以發(fā)動(dòng)“緩沖區(qū)溢出”攻擊,精心制作一個(gè)大幾百倍的數(shù)據(jù)包,發(fā)送給該設(shè)備。這一設(shè)備會(huì)因?yàn)閮?nèi)存遭到嚴(yán)重破壞,進(jìn)而導(dǎo)致程序運(yùn)行失敗、系統(tǒng)宕機(jī)、重啟,甚至是執(zhí)行非授權(quán)指令、獲得系統(tǒng)控制權(quán)以及其他非法操作。
Rodriquez警告說,許多現(xiàn)代的ATM或者銷售點(diǎn)系統(tǒng)匯總使用的NFC很容易受到攻擊,它們中存在的一些漏洞,會(huì)被黑客入侵以提取一些信用卡數(shù)據(jù),甚至是利用ATM提現(xiàn)。
Rodriquez分享一個(gè)視頻,視頻中,他在ATM上揮了揮手機(jī),就使ATM顯示出了一條錯(cuò)誤信息,之后ATM竟然對(duì)真實(shí)的插卡取款沒有了反應(yīng)。
為了說明這些NFC設(shè)備上的漏洞,極易遭受攻擊。Rodriquez開發(fā)了一個(gè)簡(jiǎn)單的安卓App,可以讓他的手機(jī)模仿銀行卡的NFC通信功能,并入侵ATM機(jī)。
換句話說,如果Rodriquez愿意,他可以悄悄改變交易的數(shù)額,比如存入1美元,ATM卻認(rèn)為他存了100萬美元,或者以賬戶少了1美元的代價(jià),取出大量的現(xiàn)金。
甚至,他還可以利用這一漏洞,悄悄給ATM機(jī)安裝勒索軟件……
Rodriquez表示,他從1年前開始,就陸陸續(xù)續(xù)通知存在這一漏洞的ATM供應(yīng)商,比較知名的包括Tech、Ingenico、Verifone、Crane Payment Innovations等等。
但是對(duì)于修復(fù)漏洞,他比較悲觀。
他通知的其中一家ATM供應(yīng)商Verifone公司向他表示,這個(gè)漏洞他們已經(jīng)在2018年時(shí)就修復(fù)了。
然而Rodriquez發(fā)現(xiàn),他去年在一家餐館旁的Verifone設(shè)備上測(cè)試,漏洞依然存在。
ATM機(jī)與電腦、手機(jī)等終端設(shè)備不同,許多ATM機(jī)都不會(huì)定期接收軟件更新,而且很多情況下需要物理訪問才能更新。
這樣的ATM全世界一共有數(shù)百萬臺(tái),一臺(tái)一臺(tái)更新需要大量的時(shí)間……
Ingenico公司在一份聲明中回應(yīng)說,由于它的安全緩解措施,羅德里格斯的緩沖區(qū)溢出技術(shù)只能使其設(shè)備崩潰,而不能執(zhí)行攻擊代碼,但是,“考慮到給我們的客戶帶來的不便和影響,”Ingenico還是發(fā)布了一個(gè)補(bǔ)丁。
Verifone公司則表示,早在羅德里格斯報(bào)告之前,他們就已經(jīng)發(fā)現(xiàn)并修復(fù)了羅德里格斯在2018年指出的漏洞。但羅德里格斯說,他去年在一家餐館的Verifone設(shè)備上測(cè)試了他的NFC攻擊技術(shù),發(fā)現(xiàn)它仍然很脆弱。
在保密了整整一年之后,羅德里格斯計(jì)劃在未來幾周的網(wǎng)絡(luò)研討會(huì)上分享漏洞的技術(shù)細(xì)節(jié),部分原因是為了讓受影響廠商的客戶引起重視。他希望更廣泛地呼吁人們關(guān)注嵌入式設(shè)備安全的糟糕狀況,他發(fā)現(xiàn),像緩沖溢出這樣簡(jiǎn)單的漏洞存在于如此之多的常用設(shè)備中ーー這些設(shè)備正處理著人們敏感的財(cái)務(wù)信息。
“這些漏洞已經(jīng)存在多年,我們每天都在使用這些設(shè)備來處理我們的信用卡,我們的錢,”他說。“它們需要得到保護(hù)。”