هک شدن دستگاههای خودپرداز با استفاده از اپلیکیشن اندروید و NFC | برنامه نویسی وشبکه
هک شدن دستگاههای خودپرداز با استفاده از اپلیکیشن اندروید و NFC
یک محقق امنیتی تنها با استفاده از تلفن همراه هوشمند و یک کارتخوان، موفق به هک دستگاه های خودپرداز و سایر دستگاه های POS شد است.
بر اساس گزارش ها، یک محقق امنیتی به نام جوزف رودریگز با بهره گیری از نقص سیستم های NFC در دستگاه های خودپرداز و POS که عموماً در تمام فروشگاه ها و مغازه ها استفاده می شوند، از سد امنیتی آنها عبور کرد و موفق به هک کردن آنها شد. او اپلیکیشنی برای آلوده کردن چیپ NFC این دستگاه ها طراحی کرد تا با استفاده از باگهای متعدد باعث کرش کردن آنها، هک شدن و جمع آوری داده کارتهای اعتباری، تغییر نامحسوس مقادیر تراکنشها و حتی برداشت پول از ATM شود.
رودریگز دراینباره به Wired گفت:این امکان وجود دارد که با تغییر فرم ور، رقمی که روی صفحه نمایش داده میشود تغییر داد. مثالا حتی در صورتی که 50 دلار پرداخته باشید، نمایشگر به شما عدد 1 دلار را نشان میدهد. میتوان دستگاه را کامل از دسترس خارج یا روی آن نوعی باج افزار نصب کرد.
در مجموع سناریوهای زیادی قابل پیاده سازی هستند. اگر حملات بصورت زنجیرهای انجام و در کنار آن، نوع خاصی از تراکنش به سرور ATM فرستاده شود، امکان این بوجود می آید که تنها با یک اشاره ی تلفن همراه، دستگاه را وادار به پرداخت پول کرد.
رودریگز تحقیق خود برای هک کردن دستگاه های خودپرداز را با خرید NFC خوان ها و دستگاههای POS از ebay شروع کرد. او به سرعت متوجه شد که بسیاری از این دستگاه ها حجم داده هایی که با کارت اعتباری و از طریق NFCبه آنها فرستاده میشود، اعتبارسنجی نمی کنند. بر همین مبنا، او با استفاده از یک اپلیکیشن اندروید، بسته دادهای بسیار بزرگتر از حجم مورد انتظار دستگاه برای آن فرستاد تا «سرریز بافر» شکل بگیرد.
این پدیده که نوعی آسیب پذیری نرم افزاری قدیمی است، باعث میشود حمله کننده قادر به انجام خرابکاری در حافظه دستگاه و اجرای کد مورد نظر باشد.
رودریگز این باگ امنیتی را حدود یک سال پیش به اطلاع سازندگان و تأمین کننده ها رسانده بود؛ اما تعداد دستگاه هایی که نیاز به پچ فیزیکی دارند زیاد است و به همین خاطر زمان زیادی صرف برطرف کردن این مشکل خواهد شد. در کنار اینها، آپدیت نشدن دستگاههای POS بصورت منظم به این مشکل دامن میزند
