Chalongrat Chuvaree | imágenes falsas
Durante años, los investigadores de seguridad y los ciberdelincuentes han pirateado los cajeros automáticos utilizando todas las vías posibles hasta sus entrañas, desde abrir un panel frontal y colocar una memoria USB en un puerto USB a Perforar un agujero que deja al descubierto el cableado interno.. Ahora, un investigador ha encontrado una colección de errores que le permiten piratear cajeros automáticos, junto con una amplia variedad de terminales de punto de venta, de una manera nueva: con un movimiento de su teléfono sobre un lector de tarjetas de crédito sin contacto.
Josep Rodríguez, investigador y consultor de la firma de seguridad IOActive, ha pasado el último año investigando y reportando vulnerabilidades en los llamados chips lectores de comunicaciones de campo cercano que se utilizan en millones de cajeros automáticos y sistemas de punto de venta en todo el mundo. Los sistemas NFC son los que le permiten pasar una tarjeta de crédito por encima de un lector, en lugar de deslizarla o insertarla, para realizar un pago o extraer dinero de un cajero automático. Puede encontrarlos en innumerables mostradores de tiendas minoristas y restaurantes, máquinas expendedoras, taxis y parquímetros en todo el mundo.
Ahora, Rodríguez ha creado una aplicación para Android que permite que su teléfono inteligente imite las comunicaciones por radio de la tarjeta de crédito y aproveche las fallas en el firmware de los sistemas NFC. Con un movimiento de su teléfono, puede explotar una variedad de errores para bloquear dispositivos de punto de venta, piratearlos para recopilar y transmitir datos de tarjetas de crédito, cambiar de manera invisible el valor de las transacciones e incluso bloquear los dispositivos mientras muestra un mensaje de ransomware. . Rodríguez dice que incluso puede obligar al menos a una marca de cajeros automáticos a dispensar efectivo, aunque eso truco de “jackpotting”
“Puedes modificar el firmware y cambiar el precio a un dólar, por ejemplo, incluso cuando la pantalla muestra que estás pagando 50 dólares. Puedes inutilizar el dispositivo o instalar algún tipo de ransomware. Hay muchas posibilidades aquí “, dice Rodríguez sobre los ataques en el punto de venta que descubrió. “Si encadena el ataque y también envía una carga útil especial a la computadora de un cajero automático, puede ganar el premio gordo del cajero automático, como retirar dinero, con solo tocar su teléfono”.
Rodríguez dice que alertó a los proveedores afectados, que incluyen a ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo y el proveedor de cajeros automáticos no identificado, sobre sus hallazgos entre hace siete meses y un año. Aun así, advierte que la gran cantidad de sistemas afectados y el hecho de que muchas terminales de puntos de venta y cajeros automáticos no reciben actualizaciones de software con regularidad, y en muchos casos requieren acceso físico para actualizarse, significa que muchos de esos dispositivos probablemente siguen siendo vulnerables. “Parchar tantos cientos de miles de cajeros automáticos físicamente, es algo que requeriría mucho tiempo”, dice Rodríguez.
Como demostración de esas vulnerabilidades persistentes, Rodríguez compartió un video con WIRED en el que agita un teléfono inteligente sobre el lector NFC de un cajero automático en la calle de Madrid, donde vive, y hace que la máquina muestre un mensaje de error. El lector de NFC parece fallar y ya no lee su tarjeta de crédito la próxima vez que la toca en la máquina. (Rodríguez pidió que WIRED no publicara el video por temor a responsabilidad legal. Tampoco proporcionó una demostración de video de un ataque de jackpot porque, dice, solo podía probarlo legalmente en máquinas obtenidas como parte de la consultoría de seguridad de IOActive para el proveedor de cajeros automáticos afectado, con quien IOActive ha firmado un NDA).
Los hallazgos son “una excelente investigación sobre la vulnerabilidad del software que se ejecuta en dispositivos integrados”, dice Karsten Nohl, fundador de la firma de seguridad SRLabs y un conocido pirata informático de firmware, que revisó el trabajo de Rodríguez. Pero Nohl señala algunos inconvenientes que reducen su practicidad para los ladrones del mundo real. Un lector NFC pirateado solo podría robar datos de tarjetas de crédito de banda magnética, no los de la víctima. PIN o los datos de chips EMV. Y el hecho de que el truco de retiro de efectivo del cajero automático requiera una vulnerabilidad adicional y distinta en el código de un cajero automático objetivo no es una pequeña advertencia, dice Nohl.
Pero los investigadores de seguridad como el difunto pirata informático IOActive Barnaby Jack y el equipo de Red Balloon Security han podido descubrir esas vulnerabilidades de los cajeros automáticos durante años y han incluso se demostró que los piratas informáticos pueden activar el jackpot en cajeros automáticos de forma remota. El director ejecutivo y científico jefe de Red Balloon, Ang Cui, dice que está impresionado por los hallazgos de Rodríguez y tiene pocas dudas de que piratear el lector NFC podría llevar a dispensar dinero en efectivo en muchos cajeros automáticos modernos, a pesar de que IOActive retuvo algunos detalles de su ataque. “Creo que es muy plausible que una vez que tenga la ejecución de código en cualquiera de estos dispositivos, pueda acceder directamente al controlador principal, porque esa cosa está llena de vulnerabilidades que no se han solucionado durante más de una década”, Cui dice. “A partir de ahí”, agrega, “puede controlar absolutamente el dispensador de casetes” que contiene y libera efectivo a los usuarios.
Rodríguez, que ha pasado años probando la seguridad de los cajeros automáticos como consultor, dice que comenzó a explorar hace un año si los lectores de tarjetas sin contacto de los cajeros automáticos, vendidos con mayor frecuencia por la empresa de tecnología de pago ID Tech, podrían servir como un camino para piratearlos. . Comenzó a comprar lectores NFC y dispositivos de punto de venta en eBay y pronto descubrió que muchos de ellos sufrían el mismo defecto de seguridad: no validaban el tamaño del paquete de datos enviado a través de NFC desde una tarjeta de crédito al lector. conocida como unidad de datos de protocolo de aplicación o APDU.
Al usar una aplicación personalizada para enviar una APDU cuidadosamente diseñada desde su teléfono Android habilitado para NFC que es cientos de veces más grande de lo que espera el lector, Rodríguez pudo desencadenar un “desbordamiento de búfer”, un tipo de vulnerabilidad de software de décadas de antigüedad que permite un hacker para corromper la memoria de un dispositivo objetivo y ejecutar su propio código.
Cuando WIRED se puso en contacto con las empresas afectadas, ID Tech, BBPOS y Nexgo no respondieron a las solicitudes de comentarios y la Asociación de la Industria de los Cajeros Automáticos se negó a comentar. Ingenico respondió en un comunicado que, debido a sus mitigaciones de seguridad, la técnica de desbordamiento de búfer de Rodríguez solo podía bloquear sus dispositivos, no obtener la ejecución de código en ellos, pero que, “considerando las molestias y el impacto para nuestros clientes”, emitió una solución de todos modos. . (Rodríguez responde que tiene dudas de que las mitigaciones de Ingenico realmente impidan la ejecución del código, pero en realidad no ha creado una prueba de concepto para demostrarlo).
Verifone, por su parte, dijo que había encontrado y solucionado las vulnerabilidades de los puntos de venta que Rodríguez destacó en 2018 mucho antes de que las denunciara. Pero Rodríguez argumenta que esto solo demuestra la falta de parches consistentes en los dispositivos de la compañía; dice que probó sus técnicas NFC en un dispositivo Verifone en un restaurante el año pasado y descubrió que seguía siendo vulnerable.
Después de mantener en secreto muchos de sus hallazgos durante un año completo, Rodríguez planea compartir los detalles técnicos de las vulnerabilidades en un seminario web en las próximas semanas, en parte para presionar a los clientes de los proveedores afectados a implementar los parches que las empresas han puesto a disposición. . Pero también quiere llamar la atención sobre el pésimo estado de la seguridad de los dispositivos integrados de manera más amplia. Se sorprendió al descubrir que vulnerabilidades tan simples como los desbordamientos de búfer se han mantenido en tantos dispositivos de uso común, nada menos que los que manejan efectivo e información financiera confidencial.
“Estas vulnerabilidades han estado presentes en el firmware durante años y usamos estos dispositivos a diario para manejar nuestras tarjetas de crédito, nuestro dinero”, dice. “Necesitan estar asegurados”.
Esta historia apareció originalmente en wired.com.