2021/06/28

Falhas no NFC deixam levantar dinheiro nas caixas bancárias

Um investigador espanhol tornou realidade aquilo que vemos nos filmes: conseguindo fazer com que uma máquina lhe desse dinheiro ao abanar o smartphone no seu leitor NFC.

O sistema contact-less vai sendo cada vez mais utilizador por todos para os pagamentos, mas neste caso o NFC tornou-se na porta de entrada para explorar uma série de vulnerabilidades que permitem uma série de capacidades bastante vastas, incluindo coisas como: fazer pagamentos de apenas uns cêntimos apesar de um terminal de pagamento numa loja indicar o preço correcto; infectar o sistema PoS com spyware ou ransomware; ou, como a maioria das pessoas imaginará imediatamente, fazer com que uma caixa "multibanco" atire dinheiro cá para fora. Capacidades que Josep Rodriguez faz questão de não mostrar em vídeo, para evitar potenciais represálias (e também por conta de NDAs já assinados com algumas das empresas afectadas).

O sistema é imensamente mais fácil - mecanicamente falando - do que os tradicionais métodos de infiltração em caixas de dinheiros, que normalmente implicam ter que as abrir para instalar malware, ou aplicar painéis falsos sobrepostos, para tentarem apanhar os dados das pessoas que as utilizarem. Aqui, tudo se passa no reino do software, usando um smartphone com uma app especialmente criada para tirar partido das vulnerabilidades dos leitores NFC e do firmware que utilizam, e que muitas vezes é comum a dezenas de fabricantes.

É uma das consequências inevitáveis de se terem dispositivos cada vez mais complexos, onde cada módulo ou acessório tem o seu próprio micro-controlador, a correr o seu próprio software, que se vai interligando com outros, num autêntico castelo de cartas onde basta o elo mais fraco para que um atacante possa por toda a sua (falta) de segurança em causa.

Sem comentários:

Enviar um comentário (problemas a comentar?)