Josep Rodriguez, especialista em segurança da empresa espanhola IOActive, esperou um ano para poder revelar uma série de vulnerabilidades existentes na tecnologia NFC que permitem a uma pessoa hackear caixas eletrônicos e terminais de pagamento simplesmente agitando um smartphone na frente do leitor de cartão contactless. Suas descobertas foram publicadas pela revista Wired na última quinta-feira, dia 24.
Como prova de conceito, o especialista criou um aplicativo Android com o qual seu smartphone pode simular comunicações de rádio de cartão de crédito e explorar vulnerabilidades no firmware de sistemas habilitados para NFC. Simplesmente agitando seu telefone, Rodriguez disse que pode explorar as falhas e causar negação de serviço a terminais de PDV, hackeá-los, coletando e transferindo dados de cartão de crédito, como pode também alterar o valor das transações e até mesmo bloquear o dispositivo, exibindo uma notificação de resgate em sua tela.
Veja isso
Hackers podem usar NFC para instalar malware em celular Android
Mega vazamento tem dados de mais de 200 distritos policiais dos EUA
O pesquisador disse que é possível inclusive força o ATM de pelo menos um fabricante a dispensar dinheiro, embora esse método só funcione em conjunto com a exploração de outras vulnerabilidades que encontrou no firmware do ATM.
Estudando NFC e terminais de pagamento, Rodriguez descobriu que todos estão sujeitos à mesma vulnerabilidade – os dispositivos não verificam o tamanho do pacote de dados enviado pelo NFC do cartão de crédito para o leitor (unidade de protocolo de dados de aplicativo, APDU).
O APDU é um formato de comunicação entre um cartão e um terminal. O terminal envia um APDU de Comando (C-APDU) e o cartão devolve um APDU de Resposta (R-APDU).
Usando o aplicativo que criou, o pesquisador enviou uma solicitação de APDU especialmente formada do smartphone para o leitor e provocou um estouro de buffer no ATM (buffer overflow).
“Você pode modificar o firmware e mudar o preço, por exemplo, em um dólar, mesmo que a tela mostre que você está pagando cinquenta dólares. Você pode tornar o dispositivo inútil ou instalar algum ransomware. Existem muitas possibilidades. Se você realizar um ataque e enviar uma carga especial para o computador do caixa eletrônico, poderá sacar apenas tocando na tela do smartphone”, disse Rodriguez na entrevista à Wired.
Há vários meses o especialista informou o problema aos fabricantes de dispositivos vulneráveis, incluindo ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS e Nexgo. Representantes do fabricante de terminais para cartões Ingenico disseram que as vulnerabilidades descritas por Rodriguez podem apenas causar uma falha do dispositivo, mas não a execução do código. No entanto, a empresa já lançou uma correção para o problema.
Com agências de notícias internacionais