Josep Rodríguez, investigador i consultor de l'empresa de seguretat IOActive, ha passat l'últim any investigant sobre les vulnerabilitats dels xips NFC que s'utilitzen en milions de caixers automàtics i sistemes de punts de venda de tot el món. Els sistemes NFC són els que permeten utilitzar una targeta de crèdit gairebé sense contacte amb el lector, per realitzar un pagament en un datàfon o extreure diners d'un caixer automàtic. Existeixen innombrables dispositius integrats en botigues, restaurants, màquines expenedores, taxis i parquímetres de tot el món.
Josep Rodríguez ha creat una aplicació Android que permet simular les comunicacions per ràdio de la targeta de crèdit i aprofitar les fallades de l'firmware dels sistemes NFC. Des d'un telèfon i amb l'aplicació, pot aprofitar una sèrie d'errors per bloquejar els dispositius dels punts de venda, "hackearlos" per recollir i transmetre dades de la targeta de crèdit, canviar de forma transparent el valor de les transaccions i fins i tot bloquejar els dispositius mostrant un missatge de ransomware. Josep Rodríguez afirma que fins i tot pot forçar el menys una marca de caixers automàtics a dispensar diners en efectiu, encara que aquest «jackpotting» només funciona en combinació amb altres fallades que diu haver trobat en el programari dels caixers.
Josep Rodríguez, que ha passat anys provant la seguretat dels caixers automàtics com a consultor, diu que va començar a investigar fa un any si els lectors de targetes NFC dels caixers automàtics, venuts en la majoria dels casos per l'empresa de tecnologia de pagaments ID Tech, podien servir de vector d'entrada davant un atac. Va començar a comprar lectors NFC i dispositius de punt de venda a eBay i aviat va descobrir que molts d'ells patien de la mateixa fallada de seguretat: no validava la mida del paquet de dades enviat per NFC des d'una targeta de crèdit al lector, conegut com a unitat de dades del protocol d'aplicació o APDU.
Utilitzant una aplicació personalitzada per enviar un APDU estan dissenyades des del seu telèfon Android amb NFC, que és centenars de vegades més gran del que el lector espera, Josep Rodríguez va ser capaç de provocar un "desbordament de memòria intermèdia", un tipus de vulnerabilitat de programari de fa dècades que permet a un hacker corrompre la memòria dun dispositiu de destinació i executar el seu propi codi.
Josep Rodríguez planeja compartir els detalls tècnics de les vulnerabilitats en un seminari web en les pròximes setmanes, En part per forçar els clients dels proveïdors afectats a implementar els pedaços que les empreses han posat a disposició. Però també vol cridar l'atenció sobre el pèssim estat de la seguretat dels dispositius integrats en general. Es va sorprendre el comprovar que vulnerabilitats tan simples com els desbordaments de memòria intermèdia han romàs en tants dispositius d'ús comú, que manegen diners en efectiu i informació financera sensible, ni més ni menys.
Moltes d'aquestes vulnerabilitats han estat presents en el firmware dels dispositius durant anys, i estem fent servir aquests dispositius diàriament per realitzar operacions amb les nostres targetes de crèdit, els nostres diners.
