Mesin Penjual Otomatis: Jack-Potting melalui NFC | heise online

Peneliti keamanan Josep Rodriguez menemukan dan mendemonstrasikan kesalahan di ATM dan terminal pembayaran yang dapat dengan mudah dipicu dengan ponselnya. Aplikasi yang ditulis sendiri mengirim paket yang disiapkan secara khusus melalui NFC, yang kemudian memicu buffer overflows. Ini memungkinkan dia, misalnya, untuk mengurangi jumlah yang harus dibayar atau, dalam satu kasus, bahkan mendorong ATM untuk menyerahkan uang tanpa izin – di bidang keamanan, ini disebut “jack potting”.

Menurut Rodriguez, mesin dari ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo, dan produsen anonim terpengaruh atau telah terpengaruh. Menurut pernyataannya sendiri, dia memberi tahu mereka tentang masalah tujuh hingga dua belas bulan yang lalu. Sementara itu, beberapa bug telah diperbaiki. Tetapi sejumlah besar perangkat yang rentan, beberapa di antaranya perlu ditambal secara fisik di tempat, berarti bahwa tidak semua sistem kemungkinan belum diamankan, Rodriguez memperingatkan.

.

Rodriguez tidak mengungkapkan penyebab pasti dari kesalahan tersebut. Namun, dia mendemonstrasikan dalam sebuah video kepada majalah Amerika Wired bagaimana dia menghancurkan ATM di Madrid dengan ponselnya. Berlawanan Kabel Ingenico dan Verifone juga mengkonfirmasi bahwa mereka memperbaiki bug yang dilaporkan oleh Rodriguez di sistem mereka.

Bagaimanapun, pemicunya tampaknya adalah implementasi standar EMV yang tidak memadai melalui NFC, yang memungkinkan Unit Data Protokol Aplikasi (APDU) yang dimanipulasi menyebabkan buffer overflows. APDU ini adalah unit dasar komunikasi antara kartu pintar dan pembacanya; mereka berisi data dan perintah. Di Jack-Potting, Rodriguez menggabungkan masalah NFC dengan kelemahan lain dalam perangkat lunak ATM. Rodriguez menemukannya sebagai bagian dari pekerjaan konsultasinya dengan perusahaan keamanan IOActive, jadi mereka tunduk pada perjanjian kerahasiaan (karenanya produsen anonim).

READ  Penghargaan Pengguna Berita MTB 2022: Merek Pelindung Tahun Ini

Yang paling menakutkan dari temuan ini bukanlah fakta bahwa ATM dan terminal pembayaran juga mengandung lubang keamanan. Tetapi fakta bahwa ini adalah buffer overflows sederhana, yang, apalagi, tampaknya dapat dieksploitasi dengan cara yang sepele, mengkhawatirkan untuk sedikitnya. Karena jenis kerentanan dan eksploitasi ini sebenarnya berasal dari dari milenium terakhir dan sementara itu, banyak yang telah terjadi dalam hal keamanan.


(ju)

Ke halaman rumah

Written By
More from Hulwi Zafar
400 pekerjaan di Siemens Energy di Berlin terancam
Di pabrik beralih Siemens, karyawan takut akan pekerjaan mereka Foto: David’s Dari...
Read More
Leave a comment

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *