I lettori contactless di bancomat e POS hanno gravi vulnerabilità: lo rivela un ricercatore ad un anno dalla scoperta

[Redazione di Hardware Upg]

Link alla notizia: https://www.hwupgrade.it/news/apple/...rta_98933.html

I lettori NFC presenti su bancomat e terminali POS hanno vulnerabilità di sicurezza che li espongono a problemi potenziali anche gravi. I produttori sono già a conoscenza e hanno emesso le patch, ma gli aggiornamenti non vengono applicati

Click sul link per visualizzare la notizia.

[rockroll]

Quote:

Originariamente inviato da Redazione di Hardware Upgrade

Link alla notizia: https://www.hwupgrade.it/news/apple/...rta_98933.html

I lettori NFC presenti su bancomat e terminali POS hanno vulnerabilità di sicurezza che li espongono a problemi potenziali anche gravi. I produttori sono già a conoscenza e hanno emesso le patch, ma gli aggiornamenti non vengono applicati

Click sul link per visualizzare la notizia.

Me lo aspettavo, dal primo momento che ho sentito parlare di pagamenti contactless... voi no?

[Saturn]

Quote:

Originariamente inviato da rockroll

Me lo aspettavo, dal primo momento che ho sentito parlare di pagamenti contactless... voi no?

Eh figurati. Prima carta prepagata contactless subito clonata mentre mi trovavo a Milano, sicuramente in qualche luogo affollato (stazione, mac, o chissà dove).

Peccato per il truffatore che ci tengo sempre non più di qualche decina d'euro e la ricarico solo per fare le operazioni che mi servono.

Giusto lo sbattimento di dover essere andato a far denuncia e rifarne una nuova.

[biometallo]

Quote:

Originariamente inviato da Svelgen

Mi sfugge la gravità di questa vulnerabilità.
In pratica nel solito Android, viene installata un'app creata ad-hoc che manda fuori uso tutti i terminali NFC?

dall'articolo originale su wired (traduzione a cura di Google)

Con un gesto del telefono, può sfruttare una serie di bug per bloccare i dispositivi del punto vendita, hackerarli per raccogliere e trasmettere i dati della carta di credito, modificare invisibilmente il valore delle transazioni e persino bloccare i dispositivi mentre viene visualizzato un messaggio di ransomware . Rodriguez dice che può persino costringere almeno una marca di bancomat a erogare denaro, anche se quell'hack "jackpotting" funziona solo in combinazione con bug aggiuntivi che dice di aver trovato nel software degli sportelli automatici.

Sembrano robe belle toste

[biometallo]

Premetto che non sono certo esperto in materia ma io non mi sentirei affatto così sicuro:

Per come ho interpretato quelle righe L'nfc serve solo per violare e prendere controllo del pos, a quel punto non ha più importanza se si paga strisciando la banda magnetica, iserendo il chip nel lettore o con il telefono.

Con doppio fattore immagino che ti riferisca al fatto che sul telefono per poter pagare tu debba dare conferma, però una volta che i dati per il pagamento arrivano al pos non credo che questi siano diversi da quelli che il pos avrebbe ricevuto usando una carta fisica quindi non vedo cosa ci sia di più sicuro, ma ripeto non sono certo un esperto in materia quindi potrei sbagliarmi anzi ne sarei lieto.

Quello che posso dirti è che ormai un 15 anni fa andavo in giro a sostituire i pos nei negozi in particolare il modello più sostituito era il vecchio Darwin 2000 con il 2005 che introduceva tra l'altro proprio il contactless quei cosi poi li dovevo aggiornare a mano collegandoli alla seriale rs232 del pc con lanciando il suo programma da dos puro con un procedimento lunghissimo (non so se hai mai usato awdflash per aggiornare vecchie schede madri... per quel che ricordo un procedimento molto simile)
tutto questo per dire che quei cosi nemmeno gli aggiornamenti OTA possono fare, e non so quanto la situazione sia cambiata...