Peneliti keamanan Josep Rodriguez menemukan dan mendemonstrasikan kesalahan di ATM dan terminal pembayaran yang dapat dengan mudah dipicu dengan ponselnya. Aplikasi yang ditulis sendiri mengirim paket yang disiapkan secara khusus melalui NFC, yang kemudian memicu buffer overflows. Ini memungkinkan dia, misalnya, untuk mengurangi jumlah yang harus dibayar atau, dalam satu kasus, bahkan mendorong ATM untuk menyerahkan uang tanpa izin – di bidang keamanan, ini disebut “jack potting”.
Menurut Rodriguez, mesin dari ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo, dan produsen anonim terpengaruh atau telah terpengaruh. Menurut pernyataannya sendiri, dia memberi tahu mereka tentang masalah tujuh hingga dua belas bulan yang lalu. Sementara itu, beberapa bug telah diperbaiki. Tetapi sejumlah besar perangkat yang rentan, beberapa di antaranya perlu ditambal secara fisik di tempat, berarti bahwa tidak semua sistem kemungkinan belum diamankan, Rodriguez memperingatkan.
.
Rodriguez tidak mengungkapkan penyebab pasti dari kesalahan tersebut. Namun, dia mendemonstrasikan dalam sebuah video kepada majalah Amerika Wired bagaimana dia menghancurkan ATM di Madrid dengan ponselnya. Berlawanan Kabel Ingenico dan Verifone juga mengkonfirmasi bahwa mereka memperbaiki bug yang dilaporkan oleh Rodriguez di sistem mereka.
Kesalahan milenium terakhir
Bagaimanapun, pemicunya tampaknya adalah implementasi standar EMV yang tidak memadai melalui NFC, yang memungkinkan Unit Data Protokol Aplikasi (APDU) yang dimanipulasi menyebabkan buffer overflows. APDU ini adalah unit dasar komunikasi antara kartu pintar dan pembacanya; mereka berisi data dan perintah. Di Jack-Potting, Rodriguez menggabungkan masalah NFC dengan kelemahan lain dalam perangkat lunak ATM. Rodriguez menemukannya sebagai bagian dari pekerjaan konsultasinya dengan perusahaan keamanan IOActive, jadi mereka tunduk pada perjanjian kerahasiaan (karenanya produsen anonim).
Yang paling menakutkan dari temuan ini bukanlah fakta bahwa ATM dan terminal pembayaran juga mengandung lubang keamanan. Tetapi fakta bahwa ini adalah buffer overflows sederhana, yang, apalagi, tampaknya dapat dieksploitasi dengan cara yang sepele, mengkhawatirkan untuk sedikitnya. Karena jenis kerentanan dan eksploitasi ini sebenarnya berasal dari dari milenium terakhir dan sementara itu, banyak yang telah terjadi dalam hal keamanan.
(ju)
“Pencinta kopi. Kutu buku alkohol yang ramah hipster. Pecandu media sosial yang setia. Ahli bir. Perintis zombie seumur hidup.”
