(本文經合作夥伴 大數據文摘 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈安全专家发现ATM机NFC功能漏洞,仅用一台手机就可改变金额,甚至强制提现!〉。)
【為什麼我們要挑選這篇文章】ATM 的功能不斷升級,過去需要插金融卡,但現在可以透過 NFC、無卡等方式提款。然而資安專家發現 ATM 上的漏洞,讓駭客可以用手機的 NFC 侵入機台,修改交易金額,甚至盜領現金,而且這項漏洞存在已久。ATM 加裝新功能是為了讓人提款方便,但也為駭客開了更多的可能。(責任編輯:郭家宏)
你有多久沒去 ATM 取過錢了?
由於行動支付的誕生,人們現在出門比較少帶現金了,為了跟上「行動化」的潮流,銀行的 ATM 機經過不斷升級,目前已經有了 NFC、無卡提款甚至是刷臉提款。
從誕生之初,ATM 就一直被不法分子覬覦,畢竟 ATM 裡面有大量現金,附近還無人值守,是一個天然吸引犯罪的地方。
一般來說,銀行在考慮到 ATM 存在被搶風險的情況下,都會把 ATM 機建造的很堅固,但是依然有人選擇硬來(直接破壞機台)。
當然,也有人選擇智取。近期,一位資安公司的研究人員發現 ATM 機中 NFC 功能的漏洞,利用這個漏洞,可以修改交易金額,甚至可以讓 ATM 直接吐錢。
資安專家用手機入侵 ATM,輕鬆修改交易金額
資安公司 IOActive 的研究員和顧問何塞普.羅德里格斯(Josep Rodriguez)去年開始一直在挖掘和報告所謂的 NFC 晶片的漏洞,這些晶片被用於全球數百萬台 ATM機。
在 ATM 機上,NFC 功能可以讓你在 ATM 機上揮動銀行卡,而不是刷卡或插入銀行卡,從而進行支付或從提款機中取錢。
為此,羅德里格斯開發了一個 Android 應用程式,可以讓他的智慧手機模仿銀行卡的 NFC 通信功能,並利用 NFC 系統韌體中的缺陷入侵 ATM 機或者銷售點終端。
也就是說,僅僅利用一部智慧手機,羅德里格斯就可以侵入 ATM 機或者銷售點終端收集和傳輸銀行卡數據,悄悄地改變交易數額,甚至鎖定設備。
羅德里格斯說,他甚至可以強迫至少一個品牌的 ATM 機直接支付現金。由於與 ATM 供應商簽訂了保密協議,他拒絶詳細說明或公開披露這些漏洞。
「例如,你可以修改韌體並將價格改為 1 美元,即使螢幕顯示你要支付 50 美元。你可以使設備失效,或者安裝一種勒索軟體。這有很多可能性,」羅德里格斯表示,「如果你發動連鎖攻擊,並向 ATM 機的處理器發送一個特殊的有效載荷,你就可以在 ATM 機上找到突破口,例如提現。」
羅德里格斯擔任顧問多年來一直在測試 ATM 機的安全性。他表示,一年前他開始探索 ATM 機的 NFC 是否可以成為駭客入侵的捷徑。
NFC 讀卡器通常由支付技術公司 ID tech 銷售,羅德里格斯從 eBay 上購買 NFC 閲讀器和銷售點設備,很快發現其中許多都有同樣的安全缺陷——他們沒有驗證通過 NFC 從銀行卡發送到讀卡器的數據包(APDU)大小。
因此,羅德里格斯建立了一個定製的應用程式,透過他支援 NFC 的 Android 手機向 ATM 機或銷售點設備發送一個精心製作的 APDU,這個程式比設備預期的要大幾百倍,這樣,羅德里格斯能夠觸發一個「緩衝區溢位」(buffer overflows),這是一種有幾十年歷史的軟體漏洞,駭客可以利用該漏洞破壞目標設備的記憶體,並運行自己的程式碼。
多家 ATM 供應商受影響,安裝補丁需要一段時間
羅德里格斯說,他在 7 個月至 1 年前通知了受影響的 ATM 機和銷售點終端供應商,其中包括 ID Tech、Ingenico、Verifone、Crane Payment Innovations、BBPOS、Nexgo,以及未透露姓名的 ATM 供應商。
即便如此,他警告稱,受影響的系統數量之多,以及許多銷售點終端和 ATM 機不會定期接收軟體更新,而且在許多情況下需要物理訪問才能進行更新,這意味著這些設備中的許多可能仍然容易受到攻擊。
羅德里格斯說:「給成千上萬的自動取款機打補丁,這需要很多時間。」
為了展示這些揮之不去的漏洞,羅德里格斯與《連線》雜誌分享了一段影片。影片中,他在自己居住的馬德里街頭的一台 ATM 機的 NFC 感應區上揮舞一部智慧手機,並讓這台機器顯示一條錯誤訊息。
羅德里格斯要求《連線》雜誌不要發佈這段影片,因為擔心承擔法律責任。他也沒有提供劫機攻擊的影片演示,因為他說,他只能在 IOActive 向受影響的 ATM 供應商提供安全顧問的機器上進行合法測試,IOActive 已經與該供應商簽署了保密協議。
資安公司 SRLabs 的創始人、著名的韌體駭客卡斯滕.諾爾(Karsten Nohl)回顧了羅德里格斯的工作,他說,這些發現是「對嵌入式設備上運行的軟體脆弱性的極好研究」。但是諾爾也指出了這項發現的一些侷限性,正是這些侷限降低了它在現實世界中被不法分子利用的可能性。
諾爾指出,被入侵的 NFC 讀卡器只能竊取信用卡的磁條數據,而不能竊取受害者的個人識別碼或 EMV 晶片中的數據。事實上,ATM 提現還要求目標 ATM 的程式碼有一個額外的、明顯的漏洞。
當《連線》聯繫受影響的公司時,ID Tech、BBPOS 和 Nexgo 沒有回應置評請求,ATM 行業協會也拒絶置評。
Ingenico 公司在一份聲明中回應說,由於它的安全緩解措施,羅德里格斯的緩衝區溢出技術只能使其設備崩潰,而不能執行攻擊程式碼,但是,「考慮到給我們的客戶帶來的不便和影響,」Ingenico 還是發佈了一個補丁。
Verifone 公司則表示,早在羅德里格斯報告之前,他們就已經發現並修復了羅德里格斯在 2018 年指出的漏洞。但羅德里格斯說,他去年在一家餐館的 Verifone 設備上測試了他的 NFC 攻擊技術,發現它仍然很脆弱。
在保密了整整一年之後,羅德里格斯計劃在未來幾週的網路研討會上分享漏洞的技術細節,部分原因是為了讓受影響廠商的客戶引起重視。他希望更廣泛地呼籲人們關注嵌入式設備安全的糟糕狀況,他發現,像緩衝溢位這樣簡單的漏洞存在於如此之多的常用設備中,這些設備正處理著人們敏感的財務資訊。
「這些漏洞已經存在多年,我們每天都在使用這些設備來處理我們的信用卡,我們的錢,」他說,「它們需要得到保護。」
(本文經合作夥伴 大數據文摘 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為〈安全专家发现ATM机NFC功能漏洞,仅用一台手机就可改变金额,甚至强制提现!〉。首圖來源:Pixabay CC Licensed)
延伸閱讀
遠程資安防護出新招!多重身份驗證有效防範 99.9% 的入侵風險
【全球 Wi-Fi 裝置無一倖免】專家發現資安大漏洞,1997 年發布時就存在
【投稿】駭客企業化時代來臨!政府、業界該如何協作,打造台灣「資安護國神山」?
