安全研讨人员为ATM NFC读卡器中存在的缝隙敲响警钟

来源：优游彩票ub8登录    发布时间：2024-02-18 03:39:20

  据《连线》报导，IOActive安全研讨员Josep Rodriquez正告说，许多现代ATM和POS体系中运用的NFC读卡器使它们简略遭到进犯。 这些缺点使它们简略遭到一系列问题的影响，包含被邻近的NFC设备对撞进犯、作为勒索软件进犯的一部分而被确定、乃至被黑客提取某些信用卡数据。

  Rodriquez正告说，这些缝隙或许被用作所谓的中奖进犯的一部分，诈骗机器吐出现金。但是，这样的进犯只要在与其他缝隙的运用配对时才有时机，《连线》说，因为IOActive与受影响的ATM机供货商有保密协议，他们没办法发布这种进犯的视频。

  依托机器的NFC读卡器的缝隙，黑客进犯相对简略履行。尽管曾经的一些进犯依赖于运用医疗内窥镜等设备来勘探机器，但Rodriquez只需在机器的NFC读卡器前挥动运转其软件的Android手机，就可经过机器有几率存在的任何缝隙。

  在与《连线》共享的一段视频中，Rodriquez只是经过在NFC读卡器上挥动他的智能手机，就使马德里的一台ATM机显示出错误信息，然后，该机器对举到读卡器上的实在信用卡反而变得没有反应。

  这项研讨着重了这些体系的几个大问题。首先是许多NFC读卡器简略遭到相对简略的进犯，例如，在某些情况下，读卡器没有验证它们接收到多少数据，这在某种程度上预示着进犯者可以用过多的数据吞没体系并损坏其内存，作为 缓冲区溢出进犯的一部分。

  第二个问题是，即便发现了问题，ATM的厂家对世界各地运用的数十万台机器使用补丁的速度也会很慢。通常情况下，需要对机器进行物理上的实践拜访才干使用更新，并且许多机器并没有定时收到安全补丁。例如，一个企业表明，尽管已经在2018年给指定类型的机器打了补丁，但研讨人员仍然可以验证该进犯在2020年的一家餐厅中起到效果，这证明安全更新推送实践上并没有很有用履行。

  Rodriquez计划在未来几周的网络研讨会上介绍他的发现，以着重他所说的嵌入式设备的安全措施到底有多短缺。