Watch Dogs na żywo. Zhakował bankomat używając aplikacji na Androida

Na tym etapie chyba każdy słyszał już o grze serii gier Watch Dogs, w której bohater musi wykorzystywać swoje informatyczne zdolności by wykorzystywać podłączone do globalnej sieci otoczenie do swoich celów. Za pomocą smartfona hakuje się tam bramy, drzwi, sygnalizację świetlną czy nawet bankomaty, co stanowi jedno z ważniejszych źródeł gotówki na początku gry. Wiele osób zapewne w takim momencie zastanawiało się, czy takie triki możliwe są do wykorzystania w rzeczywistości i czy faktycznie wystarczy jedynie smartfon z połączeniem internetowym by oszukać bankomat. W rzeczywistości jednak maszyny te są bardzo mocno chronione zarówno od strony oprogramowania, jak i integracji w hardware i na pewno potrzeba czegoś więcej niż smartfon by się do nich włamać. Na pewno...

A jednak nie. Smartfon z NFC to wszystko czego trzeba by oszukać bankomat

Bankomaty, jak wszystkie urządzenia, ewoluują, by zapewnić swoim użytkownikom jak najwyższy komfort. Dlatego dziś na wielu maszynach pojawiły się pady NFC, do których wystarczy zbliżyć kartę bądź telefon. To wszystko, czego potrzebował Joseph Rodriguez, a konsultant ds. cyberbezpieczeństwa w IOActive, który zdecydował się sprawdzić, ile potrzeba by złamać zabezpieczenia bankomatu i kasy (POS online). Jak się okazało, dzięki specjalnej aplikacji był on w stanie przesłać przez NFC takie informacje, które zawieszały bądź crashowały bankomaty i kasy, zmieniały wartość transakcji (np. przy płaceniu 50 dolarów w rzeczywistości z konta był pobierany jeden) czy wręcz zmuszały bankomaty do wypluwania gotówki. Rodriguez stwierdził w wywiadzie dla Wired: "Jeżeli skoordynujesz ze sobą ataki i wyślesz w tym samym czasie specjalny plik do oprogramowania bankomatu, możesz sprawić, by wypłacił gotówkę po prostu klikając w przycisk w aplikacji."

Joseph wpadł na swoje odkrycie przypadkiem, gdy testował kupowane w internecie terminale płatnicze. Zauważył on, że większość z nich nie ma zabezpieczenia, które ogranicza maksymalną ilość danych możliwych do przyjęcia. Płatności zbliżeniowe wymagają ich niewiele, jednak specjalnie spreparowana aplikacja jest w stanie wygenerować dużo większy pakiet danych, mogący spowodować przepełnienie bufora i w rezultacie - zmusić urządzenie do nieprzewidzianych zachowań. Taka metoda ataku znana jest od lat i kiedy Joseph odkrył, że działa ona m.in na bankomatach, natychmiast skontaktował się z producentami, by ci zaktualizowali oprogramowanie swoich produktów. Od tamtego czasu minął już rok (odkrycie było trzymane w sekrecie by uniknąć wykorzystania tego sposobu przez przestępców), jednak niestety jak wiemy aktualizacje oprogramowania nie są mocną stroną producentów. Dlatego nie wiadomo, ile z obecnych na rynku urządzeń wciąż jest podatne na tego typu ataki.

Źródło