Жозеп Родригес (Josep Rodriquez) занимается проблемами кибербезопасности и на момент обнаружения уязвимости работал в компании IOActive. Устройства для считывания NFC-чипов уязвимы к атакам. Это касается многих современных терминалов и банкоматов. Часто – уязвимости доступны к атакам даже со смартфонов.
«Вы можете изменить прошивку или сумму, например, на один доллар, даже когда на экране отображается, что вы платите 50 долларов. Вы можете сделать устройство бесполезным или установить своего рода программу-вымогатель ... просто поднеся свой смартфон», – рассказал Родригес.
Взлом устройства происходит во время приближения смартфона с NFC-модулем к считывателю. В результате происходит блокировка для дальнейшего использования устройства или даже извлечение информации об отдельных банковских картах. А при применении одновременно нескольких уязвимостей, возможно и снятие денег злоумышленниками.
Как утверждает Родригес, выявленные уязвимости в NFC-считывателях возможно довольно легко обнаружить и использовать. Для использования уязвимостей достаточно обычного смартфона с Android с установленным специальным программным обеспечением. В качестве примера, показано видео, где Родригес «сломал» банкомат в Мадриде. В результате воздействия банкомат перестал понимать настоящие банковские карты.
Многие NFC-считыватели даже не проверяют, какое количество данных они получают а значит, систему можно перегрузить большим количеством данных для обработки, это так называемые атаки «переполнения буфера».
Компании, владельцы устройство редко занимаются разработкой патчей для устранения выявленных проблем у огромного количества машин по всему миру. Очень часто, не предусматривается удалённый доступ к устройствам. Чтобы обновить ПО приходится привозить обновления и на месте вручную проводить обновления. Это одна из причин, почему многие системы не получают своевременных и регулярных обновлений безопасности. По данным Родригеса, компания устранила уязвимости еще в 2018 году, но эксперт смог ей воспользоваться в 2020 году.