在移动支付还未普及的年代,ATM 机就是个神奇的存在。很多不法分子被机子里的现金和无人值守的特色而吸引,做出过不少蠢事。
除了物理破坏,还有人会在密码盘上做手脚,或者想方设法接入到内部的网络或者端口,想要捣鼓出点什么。2018年和2019年,国外出现多起让 ATM 自动吐钱的“Jackpotting攻击”,就是有攻击者打开 ATM 机上的面板,访问 USB 端口,安装恶意软件造成的。
作为与金钱密切相关的设备,ATM的安保措施做得很足。不过,如今为了跟上“移动化”潮流,很多 ATM 机不断升级,加入了 NFC 取款、无卡取款乃至刷脸取款功能。这些新功能确实方便了不少,但是功能越多,暴露的攻击面就可能越多。
就在上周,安全公司 IOActive 的研究员/顾问 Josep Rodriguez 发现,利用 ATM 机原本的 bug 和 NFC 功能的缺陷,可以让 ATM 直接吐钱。具备 NFC 功能的 POS 机,也同样会中招。
Josep 一直在关注 ATM 机的安全问题,在 2020 年开始研究具备 NFC 功能的 ATM 机中可能存在的安全风险。众所周知,NFC (近场通信)功能可以让使用者不用刷卡或者插卡,在读卡器附近挥一挥银行卡或手机就能完成支付或者取钱。这一功能主要依赖 NFC 芯片实现,全球无数商店的收银系统及数百万 ATM 机都在使用这种芯片。
不过 NFC 本身存在一些缺陷,曾经就有研究员利用某一种 NFC 智能卡的漏洞,修改存储卡中的余额,免费畅饮咖啡。在研究过程中中,Josep 也发现了新的漏洞:网购的 NFC 读卡器和 POS 机都不会验证通过 NFC 从银行卡发送到读卡器的数据包(APDU)大小。
于是,他开发了一个 Android 应用程序,通过具备 NFC 功能的 Android 手机向 ATM 机或 POS 机发送一个特制数据包,这个程序比设备通常处理的数据包大几百倍,直接导致“缓冲区溢出”(buffer overflows),最终运行攻击代码代码。
换句话说,在机器的 NFC 读卡器前挥动装有这个特制程序的智能手机,就可以利用 ATM机或者 POS 机可能存在的任何漏洞,收集和传输银行卡数据(主要是银行卡的磁条数据,无法获取受害者的个人识别码或EMV芯片中的数据)、暗中改变交易金额(例如把500块改成10块),甚至能够锁定设备进行勒索。当然,看起来最具冲击力的后果就是,利用多个漏洞连锁攻击向 ATM 机的处理器发送攻击代码,让 ATM 机直接吐钱。不过,这需要利用 ATM 机本身的漏洞。
在去年,Josep 就将漏洞告知了受影响的 ATM 机和 POS 机厂商,包括 ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo 等知名品牌。部分品牌回应表示,这些攻击顶多会让设备崩溃,不会有更严重后果;部分品牌表示已经修复了漏洞,但在测试时发现问题依然存在。可想而知,由于受影响设备数量巨大,全部打上补丁可能需要很长的时间,漏洞在短期内依然会存在。
Josep 早就与厂商签订了保密协议,所以没有详细说明他发现和利用的这些漏洞。不过,在保密了整整一年之后,他打算在未来几周分享漏洞的技术细节,希望厂商和用户都能重视相关安全问题。
NFC 自广泛应用开始,就因设计较为简单而出现不同的问题,也因为安全性遭受到很多质疑。而 ATM 机为了保证交易的安全与顺畅,本身的设计就十分复杂,维护起来工程量庞大。与此前出现的很多攻击案例一样,挥挥手机让 ATM 吐钱这一攻击的本质也是历史遗留问题导致的安全风险。在实用与安全的平衡上,不论是厂商还是安全研究者,都在路上。
*参考来源:https://www.wired.com/story/atm-hack-nfc-bugs-point-of-sale/
*关于 ATM 可能遭受的攻击以及 ATM机的构造,可以查看以下两条内容:
https://www.kaspersky.com.cn/blog/7-reasons-why-its-oh-so-easy-for-bad-guys-to-hack-an-atm/3928/
https://www.sciencechannel.com/tv-shows/how-its-made/videos/atms
* 等这名研究员公开漏洞细节后,相关内容会更新到评论区
本文始发于微信公众号(GeekPwn):想让ATM机吐钱?你可能要先学会发现NFC的漏洞……
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论