Tornou-se conhecido sobre a vulnerabilidade crítica da tecnologia com módulos NFC

O pesquisador de segurança cibernética da IOActive, Josep Rodriquez, alertou que os leitores de NFC em muitos caixas eletrônicos e terminais POS modernos são vulneráveis ​​a ataques, geralmente de um smartphone comum.

Theverge.com

De acordo com o especialista, o equipamento pode ser hackeado segurando um smartphone com módulo NFC perto do leitor, bloqueando-o para uso posterior, ou até mesmo extraindo informações de cartões bancários individuais. Rodriguez está confiante de que tais vulnerabilidades também podem ser usadas como um dos elementos de ataques de “jackpotting”, quando a máquina começa a emitir dinheiro para o atacante (note-se que tais ataques são possíveis apenas quando usados ​​em conjunto com outras vulnerabilidades).

De acordo com relatórios, as vulnerabilidades exploradas por Rodriguez nos leitores NFC são bastante fáceis de detectar e explorar. Para explorar as brechas no sistema de segurança dos carros, basta trazer um smartphone Android compatível, utilizando um software especial. Em um dos vídeos, Rodriguez deu a prova ao “quebrar” um caixa eletrônico em Madrid, após o qual ele parou de responder a cartões bancários reais.

O estudo revelou alguns problemas com hardware compatível com NFC. Primeiro, muitos modelos de leitor são vulneráveis ​​a ataques relativamente simples. Por exemplo, alguns leitores não verificam a quantidade de dados que estão recebendo – ou seja, o sistema pode ficar sobrecarregado com uma grande quantidade de dados para realizar o chamado. ataques de estouro de buffer.

Em segundo lugar, as empresas às vezes são muito lentas no lançamento de patches para corrigir problemas identificados em centenas de milhares de máquinas espalhadas pelo mundo. Freqüentemente, o acesso remoto ao dispositivo não é fornecido e cada ponto deve ser visitado pessoalmente para instalar o software – portanto, muitos sistemas não recebem atualizações de segurança regulares. Segundo Rodriguez, uma das empresas anunciou a eliminação da vulnerabilidade em 2018, mas o especialista ainda conseguiu utilizá-la em 2020 em um dos restaurantes.

Nas próximas semanas, ele pretende compartilhar sua própria experiência em formato de webinar.