Una combinación de vulnerabilidades en los cajeros automáticos y en el protocolo comunicaciones de corto alcance NFC, utilizado para funciones como los pagos móviles sin contacto, expone a estos dispositivos a ser 'hackeados' solo con acercarles un teléfono móvil.
La vulnerabilidad, que se encuentra presente tanto en cajeros automáticos que admiten NFC como en los terminales de pago móvil o datáfonos, ha sido descubierta por el investigador de ciberseguridad Josep Rodríguez, de la firma IOActive, como ha informado Wired.
Rodríguez ha desarrollado una aplicación para móviles Android con la que es posible replicar las comunicaciones que tienen lugar habitualmente en los cajeros y terminales de pago explotando vulnerabilidades presentes en el 'firmware' de los sistemas NFC.
Mediante esta técnica de 'hackeo' resulta posible incluso que el ciberatacante se haga con los datos de la tarjeta de crédito del usuario, cambiar de forma invisible el importe de una transacción o incluso encriptar los dispositivos mediante ataques de 'ransomware'.
Asimismo, Rodríguez afirma que le ha sido posible 'hackear' al menos una marca de fabricantes de cajeros automáticos para sacar dinero en efectivo a través de esta técnica. El resto de marcas afectadas son Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS y Nexgo.
El investigador ha asegurado que informó a los fabricantes de los dispositivos vulnerables hace entre siete meses y un año, pero que muchos de los terminales existentes siguen estando expuestos debido a la escasez de actualizaciones de seguridad.
El problema en cuestión, que Rodríguez ha investigado desde hace un año, se debe a que la mayoría de terminales con NFC no validan el tamaño de los datos que se envían desde una tarjeta al lector, conocido como unidad de datos del protocolo de aplicación, o APDU, por sus siglas en inglés.
Mediante la aplicación para Android, la técnica desarrollada envía un archivo cien veces más largo del que el lector espera, lo que genera un error por sobrecarga de búfer.
En algunos casos, como Ingenico, los fabricantes aseguran que este tipo de ataque solo puede causar errores, pero no ejecutar código, y en este caso la compañía ya ha solucionado el fallo de seguridad que o causaba.
Verifone, por su parte, afirma que parcheó estas vulnerabilidades en 2018, pero el investigador asegura haber encontrado en España terminales de vago que recientemente seguían estando expuestos.
Fuente DPA.