Một hacker đã chứng minh bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale, POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC.
Có lẽ ai cũng đã từng ước mơ trở thành hacker để có thể rút tiền từ ATM thoải mái mà không lo về số dư tài khoản. Nhiều người đã tìm đủ mọi cách để lợi dụng các lỗ hổng trên ATM bằng cách can thiệp phần cứng. Giờ đây, một chuyên gia an ninh đã chứng minh bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale, POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC - giao thức thanh toán giữa hai thiết bị điện tử trong phạm vi gần.
Bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale, POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC.
Theo Wired đưa tin, Joseph Rodriguez, một chuyên gia tư vấn về an ninh số tại công ty IOActive đã tìm ra cách lợi dụng lỗ hổng trong hệ thống NFC của các máy ATM và hệ thống POS được ứng dụng trong khắp các cửa hàng, siêu thị, nhà hàng… Anh đã sử dụng một ứng dụng Android được lập trình để gài các đoạn mã gây ra đủ thứ lỗi vào các chip xử lý trên đầu đọc NFC của các thiết bị trên. Sau khi gặp lỗi, anh có thể thu thập dữ liệu thẻ tín dụng, thay đổi giá trị giao dịch, thậm chí trúng mánh lớn bằng cách khiến các máy ATM “phun” ra tiền tùy ý. Tuy nhiên, với máy ATM thì anh còn phải thao túng các lỗ hổng có sẵn trong phần mềm máy ATM.
“Bạn có thể thay đổi firmware và thay đổi giá sản phẩm có giá 50 USD xuống còn 1 USD, trong khi màn hình vẫn hiện là bạn đã trả 50 USD. Bạn còn có thể vô hiệu hóa thiết bị hay cài đặt các phần mềm độc hại cho phép khóa cứng thiết bị cho tới khi nạn nhân trả tiền chuộc. Có rất nhiều cách để chuộc lợi từ đây. Nếu bạn tấn công liên tục và tải lên một đoạn mã đặt biệt tới máy tính trong ATM, bạn có thể rút tiền thoải mái, chỉ cần ấn vài nút trên điện thoại”, Rodriguez cho biết.
Nếu bạn tấn công liên tục và tải lên một đoạn mã đặt biệt tới máy tính trong ATM, bạn có thể rút tiền thoải mái, chỉ cần ấn vài nút trên điện thoại.
Rodriguez bắt đầu nghiên cứu về khả năng hack đầu đọc thẻ NFC trên máy ATM bằng cách thử nghiệm trước trên các đầu đọc thẻ NFC và thiết bị POS mua trên mạng. Anh sớm nhận ra rằng hầu hết các thiết bị này không xác thực kích thước gói dữ liệu được truyền đi qua NFC từ thẻ tín dụng tới đầu đọc. Bằng một ứng dụng Android đã được tùy chỉnh, anh có thể gửi một gói dữ liệu lớn hơn hàng trăm lần dung lượng mà đầu đọc thẻ nghĩ là mình đang nhận, gây ra lỗi tràn bộ nhớ - một lỗi phần mềm “xưa như trái đất”, cho phép hacker gây lỗi bộ nhớ thiết bị và cho phép chạy một đoạn mã tùy ý.
Rodriguez đã thông báo tới các hãng sản xuất thiết bị về lỗ hổng bảo mật này một năm về trước, nhưng anh cho biết lượng thiết bị cần được cập nhật phần cứng nhiều đến mức sẽ cần rất nhiều thời gian để khắc phục hoàn toàn lỗ hổng này. Sự thực là nhiều thiết bị POS còn không được cập nhật phần mềm thường xuyên, khiến cho rủi ro này nghiêm trọng hơn bao giờ hết.
Sự thực là nhiều thiết bị POS còn không được cập nhật phần mềm thường xuyên, khiến cho rủi ro này nghiêm trọng hơn bao giờ hết.
Joseph đã giữ kín các phát hiện của mình trong suốt một năm, đến giờ mới chia sẻ các thông tin kỹ thuật công khai nhằm thúc đẩy các nhà sản xuất thiết bị nhanh chóng vá lỗi.
Theo Genk.vn
Senior Android Developer - TA160
Ngân Hàng TMCP Việt Nam Thịnh Vượng - VPBANK
Location: Hà Nội
Salary: Competitive
Middle/ Senior NodeJS Developer
CÔNG TY CỔ PHẦN HASAKI BEAUTY & CLINIC
Location: Hồ Chí Minh
Salary: Competitive
Senior Android Developer - TA160
Ngân Hàng TMCP Việt Nam Thịnh Vượng - VPBANK
Location: Hà Nội
Salary: Competitive
Location: Hồ Chí Minh
Salary: Competitive
Location: Hà Nội
Salary: 8 Mil - 15 Mil VND
Location: Hà Nội
Salary: 8 Mil - 15 Mil VND
CÔNG TY CỔ PHẦN ĐẦU TƯ VÀ THƯƠNG MẠI QUỐC TẾ ICOM
Location: Hà Nội
Salary: Competitive
Lập trình viên Mobile tại Hà Nội
CÔNG TY CỔ PHẦN CÔNG NGHIỆP WELDCOM
Location: Hà Nội
Salary: 15 Mil - 25 Mil VND