IOActive güvenlik araştırmacısı Josep Rodriquez, Wired raporlarına göre birçok modern ATM’de ve satış noktası sisteminde kullanılan NFC okuyucularının onları saldırılara karşı savunmasız bıraktığı konusunda uyardı. Kusurlar, onları yakındaki bir NFC cihazı tarafından çökme, fidye yazılımı saldırısının bir parçası olarak kilitlenme ve hatta belirli kredi kartı verilerini çıkarmak için saldırıya uğrama gibi çeşitli sorunlara karşı savunmasız hale getiriyor.
Rodriquez, güvenlik açıklarının bir makineyi para tükürmesi için kandırmak için sözde “jackpotting” saldırısının bir parçası olarak kullanılabileceği konusunda bile uyarıyor. Ancak, böyle bir saldırı yalnızca ek hataların açıkları ile eşleştirildiğinde mümkündür ve Wired, IOActive’in etkilenen ATM satıcısıyla yaptığı gizlilik anlaşması nedeniyle böyle bir saldırının videosunu izleyemediğini söylüyor.
Bir video ona gösterdi. Bir ATM’yi vahşi doğada çökertmek
Makinelerin NFC okuyucularındaki güvenlik açıklarına güvenerek, Rodriquez’in hack’lerini yürütmek nispeten kolaydır. Daha önceki bazı saldırılar, makineleri araştırmak için tıbbi endoskoplar gibi cihazların kullanılmasına dayanmış olsa da, Rodriquez, sahip olabileceği güvenlik açıklarından yararlanmak için yazılımını çalıştıran bir Android telefonu bir makinenin NFC okuyucusunun önünde sallayabilir.
Wired ile paylaşılan bir videoda Rodriquez, Madrid’deki bir ATM’nin akıllı telefonunu NFC okuyucusunun üzerinden sallayarak bir hata mesajı göstermesine neden oluyor. Ardından makine, okuyucuya tutulan gerçek kredi kartlarına yanıt vermemeye başladı.
Araştırma, sistemlerle ilgili birkaç büyük sorunun altını çiziyor. Birincisi, NFC okuyucularının birçoğunun nispeten basit saldırılara karşı savunmasız olduğu, Wired raporları. Örneğin, bazı durumlarda okuyucular ne kadar veri aldıklarını doğrulamıyor. Bu, Rodriquez’in sistemi çok fazla veriyle boğduğu ve bir “arabellek taşması” saldırısının bir parçası olarak belleğini bozduğu anlamına geliyor.
İkinci sorun, bir sorun tespit edildikten sonra bile şirketlerin dünya çapında kullanımda olan yüz binlerce makineye bir yama uygulamakta yavaş olabilmeleridir. Bir güncellemenin uygulanması için genellikle bir makinenin fiziksel olarak ziyaret edilmesi gerekir ve çoğu, düzenli güvenlik yamaları almaz. Bir şirket, örneğin, Rodriquez’in vurguladığı sorunun 2018’de düzeltildiğini söyledi, ancak araştırmacı, saldırının 2020’de bir restoranda çalıştığını doğrulayabildiğini söyledi.
Rodriguez bulgularını bir parçası olarak sunmayı planlıyor. Gömülü cihazların zayıf güvenlik önlemlerinin neler olduğunu vurgulamak için önümüzdeki haftalarda bir web semineri.
