Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC

Một hacker đã chứng minh bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale , POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC.

Có lẽ ai cũng đã từng ước mơ trở thành hacker để có thể rút tiền từ ATM thoải mái mà không lo về số dư tài khoản. Nhiều người đã tìm đủ mọi cách để lợi dụng các lỗ hổng trên ATM bằng cách can thiệp phần cứng. Giờ đây, một chuyên gia an ninh đã chứng minh bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale, POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC - giao thức thanh toán c

Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC - Ảnh 1.

Bạn có thể hack máy rút tiền hay bất kỳ hệ thống điểm bán hàng (point-of-sale, POS) chỉ bằng cách lướt nhanh điện thoại qua đầu đọc thẻ không chạm NFC.

Theo Wired đưa tin, Joseph Rodriguez, một chuyên gia tư vấn về an ninh số tại công ty IOActive đã tìm ra cách lợi dụng lỗ hổng trong hệ thống NFC của các máy ATM và hệ thống POS được ứng dụng trong khắp các cửa hàng, siêu thị, nhà hàng… Anh đã sử dụng một ứng dụng Android được lập trình để gài các đoạn mã gây ra đủ thứ lỗi vào các chip xử lý trên đầu đọc NFC của các thiết bị trên. Sau khi gặp lỗi, anh có thể thu thập dữ liệu thẻ tín dụng, thay đổi giá trị giao dịch, thậm chí trúng mánh lớn bằng cách khiến các máy ATM “phun” ra tiền tùy ý. Tuy nhiên, với máy ATM thì anh còn phải thao túng các lỗ hổng có sẵn trong phần mềm máy ATM.

“Bạn có thể thay đổi firmware và thay đổi giá sản phẩm có giá 50 USD xuống còn 1 USD, trong khi màn hình vẫn hiện là bạn đã trả 50 USD. Bạn còn có thể vô hiệu hóa thiết bị hay cài đặt các phần mềm độc hại cho phép khóa cứng thiết bị cho tới khi nạn nhân trả tiền chuộc. Có rất nhiều cách để chuộc lợi từ đây. Nếu bạn tấn công liên tục và tải lên một đoạn mã đặt biệt tới máy tính trong ATM, bạn có thể rút tiền thoải mái, chỉ cần ấn vài nút trên điện thoại”, Rodriguez cho biết.

Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC - Ảnh 2.

Nếu bạn tấn công liên tục và tải lên một đoạn mã đặt biệt tới máy tính trong ATM, bạn có thể rút tiền thoải mái, chỉ cần ấn vài nút trên điện thoại.

 

Rodriguez bắt đầu nghiên cứu về khả năng hack đầu đọc thẻ NFC trên máy ATM bằng cách thử nghiệm trước trên các đầu đọc thẻ NFC và thiết bị POS mua trên mạng. Anh sớm nhận ra rằng hầu hết các thiết bị này không xác thực kích thước gói dữ liệu được truyền đi qua NFC từ thẻ tín dụng tới đầu đọc. Bằng một ứng dụng Android đã được tùy chỉnh, anh có thể gửi một gói dữ liệu lớn hơn hàng trăm lần dung lượng mà đầu đọc thẻ nghĩ là mình đang nhận, gây ra lỗi tràn bộ nhớ - một lỗi phần mềm “xưa như trái đất”, cho phép hacker gây lỗi bộ nhớ thiết bị và cho phép chạy một đoạn mã tùy ý.

Rodriguez đã thông báo tới các hãng sản xuất thiết bị về lỗ hổng bảo mật này một năm về trước, nhưng anh cho biết lượng thiết bị cần được cập nhật phần cứng nhiều đến mức sẽ cần rất nhiều thời gian để khắc phục hoàn toàn lỗ hổng này. Sự thực là nhiều thiết bị POS còn không được cập nhật phần mềm thường xuyên, khiến cho rủi ro này nghiêm trọng hơn bao giờ hết.

Nhà nghiên cứu bảo mật hack dễ dàng máy ATM bằng ứng dụng Android và giao thức thanh toán NFC - Ảnh 3.

Sự thực là nhiều thiết bị POS còn không được cập nhật phần mềm thường xuyên, khiến cho rủi ro này nghiêm trọng hơn bao giờ hết.

Joseph đã giữ kín các phát hiện của mình trong suốt một năm, đến giờ mới chia sẻ các thông tin kỹ thuật công khai nhằm thúc đẩy các nhà sản xuất thiết bị nhanh chóng vá lỗi.

(Theo Pháp luật & Bạn đọc, Android Authority)

Cảnh báo nguy cơ thẻ ATM bị đánh cắp dữ liệu

Cảnh báo nguy cơ thẻ ATM bị đánh cắp dữ liệu

ictnews Ngày 27/4, VietinBank đưa ra cảnh báo về nguy cơ đối tượng xấu thực hiện skimming (đánh cắp dữ liệu, làm thẻ giả và rút tiền trái phép) tại hệ thống ATM các ngân hàng.

Chủ đề : hackATM
 
List comment
 
Nhà lãnh đạo toàn cầu mới về quản lý và bảo vệ dữ liệu
icon

Eden Prairie, MN - Arcserve, nhà cung cấp giải pháp bảo vệ dữ liệu và ransomware có kinh nghiệm hàng đầu thế giới và StorageCraft cùng hợp tác để giải quyết các thách thức liên tục trong kinh doanh, cho mọi quy mô tổ chức trên toàn thế giới. 

 
Hiếu PC chỉ dẫn 7 bí kíp bảo mật điện thoại cần thực hiện ngay lập tức: Việc thông tin bị xâm phạm, ngoài hacker còn do sự chủ quan của chúng ta!
icon

'Có một sự thật, là bạn luôn bị tin tặc, kẻ lừa đảo và nhà quảng cáo nhòm ngó. Vậy nên, nếu bạn truy cập vào bất kỳ ứng dụng trực tuyến nào và cảm thấy bị theo dõi, thì đúng là như thế đấy!', Hiếu PC kết luận.

 
Hệ thống “luồng xanh” bị tấn công DDoS, cơ quan chức năng đang điều tra, xử lý
icon

Tổng cục Đường bộ Việt Nam đã đề xuất Bộ Giao thông vận tải có văn bản đề nghị Bộ Công an hỗ trợ điều tra, truy tìm đối tượng tấn công vào hệ thống cấp giấy nhận diện phương tiện ưu tiên hoạt động trên “luồng xanh” vận tải.

 
Dự báo nguy cơ tấn công mạng diện rộng do 6 lỗ hổng mới trong Oracle WebLogic Server
icon

Cùng với việc cảnh báo 6 lỗ hổng mới trong Oracle WebLogic Server, Trung tâm NCSC cũng dự báo các lỗ hổng này sẽ sớm có mã khai thác công khai trên Internet, có thể đưa đến nguy cơ tấn công mạng trên diện rộng.

 
CISO của Keysight: “An ninh bảo mật là hành trình, không phải điểm đến!”
icon

Nhận định an ninh bảo mật là hành trình, không phải điểm đến, Giám đốc An toàn thông tin (CISO) của Keysight Technologies cho rằng, không gì cố định được lâu trong môi trường công nghệ liên tục cải tiến, với các mối đe dọa ngày càng nhiều.

 
 
Tổng thống Pháp đổi điện thoại sau vụ phần mềm gián điệp Pegasus
icon

Tổng thống Pháp Emmanuel Macron đã đổi cả điện thoại và số di động sau khi phần mềm gián điệp Pegasus bị phanh phui.  

Bộ Y tế yêu cầu rà soát an toàn, bảo mật dữ liệu khám chữa bệnh BHYT
icon

Nhấn mạnh an toàn, bảo mật thông tin liên quan đến khám, chữa bệnh Bảo hiểm y tế (BHYT) của người có thẻ BHYT là vô cùng quan trọng, Bộ Y tế yêu cầu tăng cường các biện pháp an toàn, bảo mật trong trích chuyển dữ liệu điện tử.

Nhiều đơn vị có nguy cơ bị hacker tấn công qua lỗ hổng mới trong Windows 10
icon

Theo Trung tâm NCSC, lỗ hổng bảo mật mới trong Windows Server 2019 và Windows 10 hiện đã có mã khai thác công khai trên Internet. Điều này cho thấy, việc khai thác lỗ hổng sẽ trở nên dễ dàng làm gia tăng nguy cơ tấn công mạng.

Trang bị kỹ năng tự bảo vệ mình trên không gian mạng cho trẻ em Việt Nam
icon

Cục Trẻ em sẽ phối hợp với các địa phương, các cơ quan, tổ chức liên quan tập huấn cho trẻ em về kỹ năng tự bảo vệ mình khi tham gia môi trường mạng và kỹ năng tương tác lành mạnh, sáng tạo trên môi trường mạng.

Xuất hiện nhiều thủ đoạn lừa đảo mới trên mạng trục lợi từ dịch Covid
icon

Lợi dụng tâm lý lo lắng về sức khỏe của người dân trong bối cảnh dịch bệnh Covid-19 diễn biến phức tạp, nhiều đối tượng xấu đã thực hiện các hành vi lừa đảo, trục lợi qua không gian mạng.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123