Технология NFC может быть очень полезной для пользователей смартфонов. Благодаря ей, вместо карты банкомата каждый может просто использовать для оплаты в магазинах или для снятия денег свой мобильный телефон. Но эксперту по безопасности Хосепу Родригесу из компании IOActive удалось найти здесь брешь в безопасности.
Для этого он воспользовался уязвимостью в картридерах NFC. Эксперт-хакер разработал приложение для Android, с помощью которого он смог тайно изменять сумму транзакции в торговых точках или собирать данные о кредитных картах. Он также получил возможность выводить устройства из строя или делать невозможным их использование, отображая на их мониторах сообщение программы-вымогателя. Все идеально работало, когда хакер просто помещал смартфон над считывателем устройства.
Баги банкомата
Ему даже удалось заставить банкоматы одного известного производителя «выплевывать» деньги. Однако это потребовало дополнительного взлома, который использовал дополнительные ошибки в программном обеспечении банкомата, сообщил ресурсу Wired сам эксперт по безопасности.
Чтобы найти уязвимость, Родригес купил на ebay несколько устройств торговых точек. Проверив их, он обнаружил, что у большинства из них нет ограничений на размер пакета данных, который может быть передан мобильным телефоном. И если отправить очень большие пакеты данных, устройство будет перегружено. Память же принимающего устройства перезаписывается в результате переполнения буфера.
Отсутствие обновлений
Родригес проинформировал соответствующие компании о слабых местах их считывателей NFC. Но проблема состоит в том, что многие устройства не получают регулярных обновлений. В частности, это касается банкоматов, ПО которых нередко необходимо обновлять непосредственно в месте их нахождения. Но это очень часто остается без внимания и игнорируется.
