Warning: sprintf(): Too few arguments in /home/2hcreate/2hcreate.wpblog.jp/public_html/wp-content/themes/default-mag/assets/libraries/breadcrumb-trail/inc/breadcrumbs.php on line 254

【技術】ATMにスマートフォンをかざすだけでハッキング? ロドリゲスがAndroidアプリを開発 [haru★]

1 :haru ★:2021/06/28(月) 18:41:04.11 ID:4ElQbroQ9.net
非接触クレジットカードに対応したシステムの脆弱性を突いてATMから大量に現金を吐き出させたり、レジを誤操作させたりできる手法を研究者が発見した。
近距離無線通信(NFC)リーダーのチップの脆弱性によるもので、いまだに脆弱性の多くは機器に残っている可能性が高いという。

セキュリティ研究者とサイバー犯罪者たちは何年も前から、あらゆる手段を使って現金自動預払機(ATM)の内部に入り込んでハッキングを試みてきた。
フロントパネルを開けてポートにUSBメモリーを差したり、ドリルで穴を開けて内部の配線を露出させたりといった手法だ。

こうしたなかATMのみならず、さまざまなPOS端末まで新たな方法でハッキングできるバグを研究者が発見した。
非接触型のクレジットカードリーダーにスマートフォンをかざすだけでハッキングできるというのだ。

セキュリティ企業IOActiveの研究員兼コンサルタントのジョセップ・ロドリゲスは、このほど1年かけて世界中の何百万台というATMやPOSシステムに使われている近距離無線通信(NFC)リーダーのチップの脆弱性を調べた結果を報告した。

NFCのシステムがATMに搭載されていれば、クレジットカードをスワイプしたり挿入したりする代わりに、リーダーにかざすだけで支払いを済ませたりATMから現金を引き出したりできる。

コンサルタントとして長年ATMのセキュリティを検証してきたロドリゲスは、ATMの非接触型カードリーダー(決済技術企業のID TECHが販売しているものが多い)がハッキングの入口になる可能性について、1年前から調べ始めたという。
eBayでNFCリーダーやPOS機器を購入し始めたが、その多くに同じセキュリティ上の欠陥があることをほどなく発見した。
そうした機器はNFCを介してクレジットカードからリーダーに送信されるデータパケット、すなわちAPDU(Application Protocol Data Unit)のサイズを検証していなかったのだ。

ロドリゲスは、リーダーが想定しているサイズの数百倍の大きさで念入りに作成されたAPDUを、カスタムアプリを使ってNFC対応のAndroid端末から送信することで、「バッファオーヴァーフロー」を引き起こすことに成功した。
バッファオーヴァーフローは数十年前から存在するソフトウェアの脆弱性で、ハッカーはこれを使うことで標的にしたデヴァイスのメモリーを破壊し、独自のコードを実行できる。

彼はバッファオーヴァーフローのような単純な脆弱性が、これほど多くの一般的に使用されている機器に残っていることに衝撃を受けたという。しかもよりによって、現金と機密性の高い金融情報を扱う機器に見つかったのである。

「こうした脆弱性は何年も前からファームウェアに存在しており、わたしたちはこのような機器を毎日使ってクレジットカードやお金の取引をしているのです」とロドリゲスは言う。「こういった機器は安全でなければなりません」

https://wired.jp/app/uploads/2021/06/26095621/GettyImages-922783932-main-e1624669036668_w1920.jpg

2021.06.27 SUN 09:00
https://wired.jp/2021/06/27/atm-hack-nfc-bugs-point-of-sale/

31 :ニューノーマルの名無しさん:2021/06/28(月) 19:00:59.17 ID:moCZIDFs0.net

リアルWatchdogsごっこができますな

52 :ニューノーマルの名無しさん:2021/06/28(月) 19:22:59.60 ID:YufoY6um0.net

駅の改札をハッキングしてSuicaの残高を〜ってネタを久米田康治が書いてたけど
それに近い事になりましたな

64 :ニューノーマルの名無しさん:2021/06/28(月) 20:30:15.55 ID:SbFRs2U90.net

QR最強

11 :ニューノーマルの名無しさん:2021/06/28(月) 18:46:54.03 ID:NmwbIKxR0.net

ハッキングを検証した本人は自慢したいだろうけど、こんな事発表しなけりゃいいのにな。

66 :ニューノーマルの名無しさん:2021/06/28(月) 20:58:07.86 ID:vKvbEiVM0.net

ロドリゲス・・・人名だよなぁ

28 :ニューノーマルの名無しさん:2021/06/28(月) 18:58:23.83 ID:6ZV4hkv40.net

こんなに凄いアプリが
僅か10万ドル!

39 :ニューノーマルの名無しさん:2021/06/28(月) 19:09:56.37 ID:O3gXKLw+0.net

あのロドリゲスか

29 :ニューノーマルの名無しさん:2021/06/28(月) 18:58:55.52 ID:IuTd9ocT0.net

私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww
私立文系wwwwwwwwwwwwwww

私立文系wwwwwwwwwwwwwww
ってこゆ記事にすぐに騙される

若いころ、数学とか理科やっといたほうがいいねwwww

18 :ニューノーマルの名無しさん:2021/06/28(月) 18:50:17.43 ID:CBzcGGAn0.net

>>15
そもそもチップレベルの挙動を理解できる技術者は圧倒的に少数だ。

お前が言うようなセキュリティ技術者はほぼいない。

19 :ニューノーマルの名無しさん:2021/06/28(月) 18:50:28.79 ID:p1Kl1D4p0.net

ドウモ ロドリゲスデス

2hcreate

Next Post

【独自】<「新型コロナワクチンの接種の説明です」> 役所職員装い性的暴行の疑いで42歳の男を逮捕! [Egg★]

水 6月 30 , 2021
元スレ 1 :Egg ★:2021/06/28(月) 05:56:39.40 ID:ef3ue0Ch […]