Josep Rodríguez, investigador y consultor de la empresa de seguridad IOActive, ha pasado el último año investigando sobre las vulnerabilidades de los chips NFC que se utilizan en millones de cajeros automáticos y sistemas de puntos de venta de todo el mundo. Los sistemas NFC son los que permiten utilizar una tarjeta de crédito sin apenas contacto con el lector, para realizar un pago en un datáfono o extraer dinero de un cajero automático. Existen innumerables dispositivos integrados en tiendas, restaurantes, máquinas expendedoras, taxis y parquímetros de todo el mundo.
Josep Rodríguez ha creado una aplicación Android que permite simular las comunicaciones por radio de las tarjetas de crédito y aprovechar los fallos del firmware de los sistemas NFC. Desde un teléfono y con la aplicación, puede aprovechar una serie de fallos para bloquear los dispositivos de los puntos de venta, “hackearlos” para recoger y transmitir datos de las tarjetas de crédito, cambiar de forma transparente el valor de las transacciones e incluso bloquear los dispositivos mostrando un mensaje de ransomware. Josep Rodríguez afirma que incluso puede forzar al menos una marca de cajeros automáticos a dispensar dinero en efectivo, aunque ese «jackpotting» sólo funciona en combinación con otros fallos que dice haber encontrado en el software de los cajeros.
Josep Rodríguez, que ha pasado años probando la seguridad de los cajeros automáticos como consultor, dice que empezó a investigar hace un año si los lectores de tarjetas NFC de los cajeros automáticos, vendidos en la mayoría de los casos por la empresa de tecnología de pagos ID Tech, podían servir de vector de entrada ante un ataque. Empezó a comprar lectores NFC y dispositivos de punto de venta en eBay y pronto descubrió que muchos de ellos padecían del mismo fallo de seguridad: no validaba el tamaño del paquete de datos enviado por NFC desde una tarjeta de crédito al lector, conocido como unidad de datos del protocolo de aplicación o APDU.
Utilizando una aplicación personalizada para enviar un APDU cuidadosamente diseñado desde su teléfono Android con NFC, que es cientos de veces más grande de lo que el lector espera, Josep Rodríguez fue capaz de provocar un “desbordamiento de memoria intermedia”, un tipo de vulnerabilidad de software de hace décadas que permite a un hacker corromper la memoria de un dispositivo de destino y ejecutar su propio código.
Josep Rodríguez planea compartir los detalles técnicos de las vulnerabilidades en un seminario web en las próximas semanas, en parte para forzar a los clientes de los proveedores afectados a implementar los parches que las empresas han puesto a disposición. Pero también quiere llamar la atención sobre el pésimo estado de la seguridad de los dispositivos integrados en general. Se sorprendió al comprobar que vulnerabilidades tan simples como los desbordamientos de memoria intermedia han permanecido en tantos dispositivos de uso común, que manejan dinero en efectivo e información financiera sensible, nada menos.
Muchas de estas vulnerabilidades han estado presentes en el firmware de los dispositivos durante años, y estamos usando estos dispositivos diariamente para realizar operaciones con nuestras tarjetas de crédito, nuestro dinero.
Referencias:
- ISO/IEC 7816-4:2005 https://www.iso.org/standard/36134.html
- Wired: https://www.wired.com/story/atm-hack-nfc-bugs-point-of-sale/
Deja una respuesta