I lettori contactless di bancomat e POS hanno gravi vulnerabilità: lo rivela un ricercatore ad un anno dalla scoperta

I lettori contactless di bancomat e POS hanno gravi vulnerabilità: lo rivela un ricercatore ad un anno dalla scoperta

I lettori NFC presenti su bancomat e terminali POS hanno vulnerabilità di sicurezza che li espongono a problemi potenziali anche gravi. I produttori sono già a conoscenza e hanno emesso le patch, ma gli aggiornamenti non vengono applicati

di pubblicata il , alle 11:01 nel canale Apple
 

Si solleva la preoccupazione per la sicurezza dei lettori NFC utilizzati in molti sportelli bancomat e sistemi POS di tutto il mondo per abilitare esperienze contactless: secondo quanto riscontrato dal ricercatore di sicurezza Josep Rodriquez di IOActive vi sarebbero infatti alcuni difetti "congeniti" che li rendono vulnerabili ad una serie di problemi, tra i quali la possibilità di essere bloccati da altri dispositivi NFC nelle vicinanze o compromessi per estrarre informazioni dalle carte bancomat e di pagamento. Non solo: le vulnerabilità potrebbero essere sfruttate anche per violare uno sportello bancomat così da indurlo a dispensare denaro in maniera incontrollata in un attacco chiamato in gergo "jackpotting".

Le vulnerabilità sarebbero abbastanza semplici da sfruttare e il ricercatore ha dimostrato che è stato sufficiente avvicinare un semplice smartphone Android (che esegue un'app sviluppata a tale scopo) ad un lettore NFC per bloccarlo ed impedirgli di compiere le normali operazioni con le carte di credito utilizzate successivamente. In un video condiviso con Wired ma che non è stato reso pubblico per accordi di riservatezza Rodriquez mostra uno sportello bancomat di Madrid che mostra un messaggio di errore dopo aver avvicinato al lettore NFC lo smartphone.

Rodriquez ha sottolineato come questi sistemi manchino di robuste fondamenta di sicurezza, rendendosi quindi vulnerabili ad attacchi relativamente semplici. Per esempio in molti casi questi lettori non verificano la quantità di dati che stanno ricevendo e ciò li espone facilmente ad attacchi di tipo "buffer overflow", dove cioè la memoria del dispositivo viene compromessa perché letteralmente "inondata" di troppi dati.

C'è poi un secondo problema: anche una volta individuata un'eventuale vulnerabilità potrebbe non essere così immediato applicare una patch correttiva. Spesso è necessario operare fisicamente su un terminale per applicare un aggiornamento e, in generale, molti dei dispositivi POS e degli sportelli bancomat non è scontato ricevano regolari aggiornamenti di sicurezza che i produttori emettono.

Sfortunatamente gli attacchi di "jackpotting" sono possibili sfruttando altri bug che Rodriquez afferma di aver trovato in alcuni software degli sportelli bancomat e che non può divulgare pubblicamente per via di accordi di riservatezza con i produttori dei terminali.

I riscontri di Rodriguez sono frutto di un lavoro di ricerca e analisi condotto lo scorso anno e che il ricercatore ha inizialmente condiviso in rispetto ai principi di responsible disclosure solamente con i produttori interessati evitando di parlarne pubblicamente per un anno intero. Il ricercatore intende però presentare i dettagli tecnici delle vulnerabilità da lui scoperte in un webinar che sarà organizzato nelle prossime settimane, sia per spingere i clienti dei produttori di dispositivi ad una azione di aggiornamento più incisiva usando le patch emesse dai produttori stessi sia per sensibilizzare il pubblico in generale su quale siano le reali condizioni di sicurezza di dispositivi che quotidianamente vengono utilizzati da miliardi di persone nel mondo per eseguire transazioni.

6 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
rockroll05 Luglio 2021, 10:31 #1
Originariamente inviato da: Redazione di Hardware Upgrade
Link alla notizia: https://www.hwupgrade.it/news/apple...erta_98933.html

I lettori NFC presenti su bancomat e terminali POS hanno vulnerabilità di sicurezza che li espongono a problemi potenziali anche gravi. I produttori sono già a conoscenza e hanno emesso le patch, ma gli aggiornamenti non vengono applicati

Click sul link per visualizzare la notizia.


Me lo aspettavo, dal primo momento che ho sentito parlare di pagamenti contactless... voi no?
Saturn05 Luglio 2021, 10:38 #2
Originariamente inviato da: rockroll
Me lo aspettavo, dal primo momento che ho sentito parlare di pagamenti contactless... voi no?


Eh figurati. Prima carta prepagata contactless subito clonata mentre mi trovavo a Milano, sicuramente in qualche luogo affollato (stazione, mac, o chissà dove).

Peccato per il truffatore che ci tengo sempre non più di qualche decina d'euro e la ricarico solo per fare le operazioni che mi servono.

Giusto lo sbattimento di dover essere andato a far denuncia e rifarne una nuova.
Svelgen05 Luglio 2021, 11:26 #3
Le vulnerabilità sarebbero abbastanza semplici da sfruttare e il ricercatore ha dimostrato che è stato sufficiente avvicinare un semplice smartphone Android (che esegue un'app sviluppata a tale scopo) ad un lettore NFC per bloccarlo ed impedirgli di compiere le normali operazioni con le carte di credito utilizzate successivamente. In un video condiviso con Wired ma che non è stato reso pubblico per accordi di riservatezza Rodriquez mostra uno sportello bancomat di Madrid che mostra un messaggio di errore dopo aver avvicinato al lettore NFC lo smartphone.


Mi sfugge la gravità di questa vulnerabilità.
In pratica nel solito Android, viene installata un'app creata ad-hoc che manda fuori uso tutti i terminali NFC?
biometallo05 Luglio 2021, 11:40 #4
Originariamente inviato da: Svelgen
Mi sfugge la gravità di questa vulnerabilità.
In pratica nel solito Android, viene installata un'app creata ad-hoc che manda fuori uso tutti i terminali NFC?


dall'articolo originale su wired (traduzione a cura di Google)

[I][SIZE="3"]Con un gesto del telefono, può sfruttare una serie di bug per bloccare i dispositivi del punto vendita, hackerarli per raccogliere e trasmettere i dati della carta di credito, modificare invisibilmente il valore delle transazioni e persino bloccare i dispositivi mentre viene visualizzato un messaggio di ransomware . Rodriguez dice che può persino costringere almeno una marca di bancomat a erogare denaro, anche se quell'hack "jackpotting" funziona solo in combinazione con bug aggiuntivi che dice di aver trovato nel software degli sportelli automatici. [/SIZE][/I]

Sembrano robe belle toste
Svelgen05 Luglio 2021, 11:54 #5
Si ok. Ma con gli attuali sistemi a doppio fattore, sono tutte operazioni fini a se stesse e che non portano a grossi danni da parte di chi possiede le carte.
Insomma...le vulerabilità gravi ci saranno anche, ma il danno è più per chi possiede i bancomat e pos piuttosto di chi ha le carte fisiche in mano.
Tra l'altro, chi paga sempre con il contactless del telefono (eccomi) è in una botte di ferro. Se non erro, i dati della carta non vengono trasmessi perché sono nel wallett del telefono (almeno, nel caso di Apple è così.
Motivo in più per non usare carte fisiche (tanto ormai il cash back è andato)..
biometallo05 Luglio 2021, 12:34 #6
Premetto che non sono certo esperto in materia ma io non mi sentirei affatto così sicuro:

Per come ho interpretato quelle righe L'nfc serve solo per violare e prendere controllo del pos, a quel punto non ha più importanza se si paga strisciando la banda magnetica, iserendo il chip nel lettore o con il telefono.

Con doppio fattore immagino che ti riferisca al fatto che sul telefono per poter pagare tu debba dare conferma, però una volta che i dati per il pagamento arrivano al pos non credo che questi siano diversi da quelli che il pos avrebbe ricevuto usando una carta fisica quindi non vedo cosa ci sia di più sicuro, ma ripeto non sono certo un esperto in materia quindi potrei sbagliarmi anzi ne sarei lieto.

Quello che posso dirti è che ormai un 15 anni fa andavo in giro a sostituire i pos nei negozi in particolare il modello più sostituito era il vecchio Darwin 2000 con il 2005 che introduceva tra l'altro proprio il contactless quei cosi poi li dovevo aggiornare a mano collegandoli alla seriale rs232 del pc con lanciando il suo programma da dos puro con un procedimento lunghissimo (non so se hai mai usato awdflash per aggiornare vecchie schede madri... per quel che ricordo un procedimento molto simile)
tutto questo per dire che quei cosi nemmeno gli aggiornamenti OTA possono fare, e non so quanto la situazione sia cambiata...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^