- Что дает бесконтактное обслуживание
- Безопасно ли это
- Где можно попробовать в действии
- Как пользоваться картой
- Как работает банкомат
- Какие карты поддерживает
- Кто был первым
- Осторожно с nfc банкоматами
- Переговоры
- Преимущества и недостатки
- Телефоном по банкомату: снять деньги можно будет с помощью смартфона
- Уязвимости nfc позволяют взломать банкомат, просто взмахнув смартфоном
Что дает бесконтактное обслуживание
Новый вид проведения платежей или снятия наличных денежных средств в банкомате имеет следующие преимущества, по сравнению с классическим:
- Высокая скорость обработки информации. Используя бесконтактную технологию, вы значительно экономите время. Вам не требуется вставлять кредитку в приемник, ждать, пока система обработает информацию. Приложите карточку к считывателю и введите защитный пароль, после этого перед вами откроется основное меню.
- Удобно. Таким образом, сможете оплатить любые услуги или снять денежные средства, даже если оставили кошелек или кредитку дома. Вас выручит мобильное устройство, которое оборудовано NFC чипом, а также при наличии добавленного пластика в платежное приложение.
- Безопасность. Не стоит переживать по поводу защиты персональных данных, обмен информацией происходит на минимальном расстоянии и длится несколько секунд. Злоумышленники не смогут перехватить сигнал от карточки и воспользоваться им для своих целей. Преимуществом является то, что при зависании банкомата он не зажует ваш пластик, а микрочип или магнитная полоса на кредитке не повредиться и не поцарапается – что повышает срок ее корректной работы. После удачного завершения обслуживания и транзакции считыватель моментально обрывает связь с RFID чипом, что препятствует повторному списанию денег с личного счета.
Безопасно ли это
Наш эксперт считает, что дело не в типе банкомата, а в мерах предосторожности владельца карты.
«Если и есть возможность перехвата данных, то она такая же, как и в случае использования контактных карт, которые вставляются непосредственно в банкомат. Угроза совсем незначительная. И главное: если эти данные и перехватят, они бесполезны без знания пин-кода. Поэтому на что необходимо обратить внимание, так это на момент ввода пин-кода. Пользователю необходимо защищать не карту, а пин-код. Это важный момент при работе с банкоматом. Необходимо проверять клавиатуру, которая фиксирует нажатие – клавиатура должна быть освобождена от посторонних предметов. Также необходимо прикрывать ввод пин-кода рукой для защиты от посторонних глаз или камер. При этом контакт или бесконтакт – не важно», – считает Константин Ян, сооснователь, технический директор CloudPayments.
По словам нашего второго эксперта, риски для держателей карт минимальны. Об этом говорят два главных фактора:
- Радиус действия технологии – 10 см. Перехватить данные на таком расстоянии с 90% вероятностью невозможно. Раньше мошенники использовали накладки, которые копировали данные карты с магнитной полосы. На бесконтактный считыватель накладки не применимы.
- Защита пин-кодом. Снять наличные через такой банкомат можно только после подтверждения операции вводом пин-кода карты или цифровым отпечатком.
Где можно попробовать в действии
На начало июля в Москве у нас пока установлено 20 таких терминалов, по России суммарно – 300. Приоритет в установке отдается отделениям Альфа-Банка, но банкоматы ставятся и в бизнес-центрах.
Для того чтобы найти такой банкомат на карте, мы сделали дополнительный фильтр на сайте. В скором времени он должен появиться и в мобильных приложениях.
Эти банкоматы будут выделяться визуально с помощью специальных наклеек, также будет заметно, что под прорезью для карты установлен ридер.
Здесь не обходится без курьезов, потому что люди привыкают ко внешнему виду банкоматов, и начинают что-то подозревать, если вдруг на их любимом аппарате вдруг появляется какая-то дополнительная деталь. Будь это ридер или антискиммер – для пользователя это все равно что-то новое, а значит – подозрительное.
Нам уже звонили пару раз по поводу того, что «на банкомате кто-то установил какую-то странную фигню, которая сейчас точно снимет у деньги вообще со всех моих карт». На самом деле, это даже хорошо, что пользователи проявляют бдительность и звонят нам, потому что случаи бывают разные.
К концу 2021-го мы планируем довести число таких банкоматов до 700. Сама перестройка банкоматной сети проводится двумя способами – это и установка новейших моделей банкоматов, и апгрейд текущих (соответствующий софт ридер). При этом в случае апгрейда стоимость такой доработки составляет примерно 5% от цены нового банкомата.
Сейчас с момента официального запуска прошла пара недель, поэтому показать какую-то подробную статистику использования данной функции будет затруднительно, но общие сведения дают понять, что этим начинают пользоваться все активнее. Причем не столько в тестовом режиме «Дай-ка попробую снять тысячу смартфоном», но и на довольно больших суммах – были снятия около 100 000 рублей с использованием Apple Pay. Пока мы склонны считать, что именно этот Pay станет самым популярным у пользователей, но время покажет.
Как пользоваться картой
Решили попробовать новую технологию? Это не составит у вас особого труда, просто выполните следующие действия:
- Найдите ближайший банкомат, который оборудован NFC модулем.
- Поднесите кредитку к считывателю и подержите, пока не раздастся звуковой сигнал.
- На следующем этапе система попросит прописать защитный код пластика.
- После этого на дисплее отобразится стандартное меню.
- Для снятия денежных средств или оплаты услуг выберите соответствующие пункты и следуйте рекомендациям.
- Нажмите на услугу, за которую хотите расплатиться. Например, мобильную связь.
- Кликните на название своего провайдера и укажите номер мобильного телефона.
- Введите сумму для пополнения.
- На следующей странице увидите итоговый размер платежа и запрос на подтверждение. Если все написано правильно, то нажмите «Далее».
- Поднесите банковскую карточку к считывателю.
- После этого деньги автоматически будут переведены на указанный счет.
- Обязательно возьмите чек для подтверждения процедуры.
На этом весь процесс заканчивается. Как вы заметили, пришлось потратить гораздо меньше времени.
Компания Сбербанк следит за развитием технического прогресса и внедряет новые технологии в обслуживание своих клиентов. В статье подробно рассмотрели особенности работы бесконтактного банкомата и инструкцию для пополнения и снятия – пользуйтесь на здоровье.
В текущее время их можно найти в любом городе. По словам представителя банка, они планируют полностью переоснастить все оборудование к 2021 году. Теперь не обязательно носить с собой бумажник и денежные средства, достаточно иметь в кармане карточку и мобильное устройство с микрочипом NFC для снятия денег.
Как работает банкомат
Компания стала активно осваивать и распространять технологию бесконтактной оплаты, теперь почти в каждом банкомате организации будет установлен специальный NFC модуль. На западе такие устройства стали применяться еще с 2003 года. Благодаря микрочипу NFC, происходит беспроводной обмен информацией на маленьком расстоянии.
Чтобы передать данные вам потребуется поднести передатчик (банковскую карточку или мобильное устройство, оборудованное таким же чипом) к считывателю. Такой бесконтактный способ имеет большой потенциал и не только в финансовой сфере. Технология активно применяется в создании современных мобильных устройств.
Важным условием удачной транзакции является наличие идентичного модуля на приемном устройстве. Именно этим решили воспользоваться представители Сбербанка. Теперь, чтобы снять денежные средства или оплатить услуги, нужно приложить свою банковскую карточку или смартфон к терминалу на панели универсального банкомата.
Чтобы определить, поддерживает ли банкомат такую функцию, достаточно взглянуть на него. При наличии модуля НФС на передней панели выведен считыватель, на котором изображен соответствующий логотип в виде волн и подпись PayPass или PayWave. Следует учитывать, что не все банковские карточки поддерживают такую бесконтактную технологию, на совместимых кредитках изображен тот же символ – точка, испускающая волны.
Воспользоваться новым способом могут:
- Владельцы совместимых банковских карточек.
- Потребители, у которых мобильное устройство оборудовано соответствующим модулем NFC. Сейчас все крупные производители стараются применять такие чипы в изготовлении смартфонов. Поэтому почти все современные модели могут осуществлять передачу бесконтактным способом, исключение составляют устаревшие телефоны.
- Обладатели специальных аксессуаров от Сбербанка – браслеты, кольца и брелоки, в корпус которых внедрены аналогичные передатчики.
Операция обмена информацией происходит буквально за несколько секунд. Между чипом RFID ,антенной на кредитке и считывателем на банкомате создается беспроводное соединение с маленьким радиусом действия.
Какие карты поддерживает
Следует принять во внимание, что подобную технологию поддерживают не все банковские карточки. Первые кредитки с бесконтактным способом транзакции появились на отечественном рынке в далеком 2006 году, а спустя 10 лет стали повсеместно использоваться в широких массах.
Изначально банкоматы работали по системе PayPass и принимали только пластик от MasterCard. Позже стали доступны и кредитки Visa со своей платежной системой PayWave. Из этого можно сделать вывод, что новое оборудование работает на бесконтактной основе только с карточками Visa и MasterCard. Все остальные продукты Сбербанка применяются в стандартном режиме.
Чтобы узнать наверняка, посмотрите на внешний вид кредитки. Если на ней изображен логотип в виде волн, то можете смело расплачиваться ею в любом магазине и снимать денежные средства в банкомате новым способом. На таких пластиках установлен специальный чип RFID и антенна, которые имитируют сигнал и передают информацию на считыватель приемного устройства.
Кроме этого, банковскую карточку может заменить ваше мобильное устройство, при условии, что оно оборудовано микрочипом NFC. Для проверки пройдите в раздел системных настроек смартфона, а далее в беспроводные сети. Здесь находится соответствующий пункт.
Такая технология значительно экономит время и упрощает проведение транзакции. Вам не требуется носить в кармане кошелек, кредитки и наличность. Все необходимое есть в мобильном устройстве. На текущее время выпущено несколько официальных приложений от разных производителей – Apple Pay, Samsung Pay, Android Pay и прочие.
Аналогичным способом можете запрограммировать специальный брелок или браслет от Сбербанка и привязать к нему свою кредитку. Компания Сбербанк планирует полностью доработать и заменить оборудование к 2021 году.
Кто был первым
Банкомат – это устройство основным предназначением, которого является выдача наличных. Впервые он появился в 1939 году в City Bank of New York. Но банкиры не восприняли новинку, так как на тот момент оставался нерешенным вопрос о синхронизации снятия наличных и остатка денег на счете. И в ближайшее несколько десятилетий развитие техники не позволяли его решить.
Второй раз банкомат появился в Лондоне в отделении банка Barclays в 1967 году. Его придумал Джон Шепард-Баррон, наблюдая за работой аппарата по продаже шоколада. Принцип работы устройства заключался в обмене специального чека на наличные. На тот момент операция по выдаче наличных ограничивалась 10 фунтами.
Неразрывно связанный с платежными карточками персональный идентификатор появился только спустя два года. Инженер с Шотландии Джеймс Гудфеллоу придумал использовать шестицифирный секретный номер для защиты информации от мошенников. Но как гласит легенда, его жена испытывала сложности по запоминанию цифр, поэтому код был сокращен до 4 цифр.
В 70-х годах банкоматы стали активно использоваться американскими банками, и уже в 1975 году их количество достигло почти 3 200 штук. В 2021 году общее число устройств по выдаче наличных во всем мире достигло 2,4 млн. штук. В России первый банкомат по выдаче наличных появился в 1994 году и принадлежал он «Мост-банку». По состоянию же на 01 января 2021 года количество банкоматов на территории РФ составило 207 694 штук.
Со временем они становились сложнее, у них появлялись все новые функции, такие как пополнение счета, перевод денег с одного счета на другой, пополнение мобильных телефонов, оплата других услуг и т.д.
Поэтому неудивительно, что при появлении тренда на бесконтактные платежи банковские специалисты задумались над оснащением устройств по выдаче наличных соответствующими функциями. Первым банком, который начал тестировать банкоматы с бесконтактной оплатой стал Альфа-Банк.
Осторожно с nfc банкоматами
Это актуальный способ, особенно сейчас, когда ходят слухи что яндекс убирает из своего поиска все популярные киносайты. Такие как ЛордФильм и Киного.
Понимаю, не все приверженцы бесплатного контента и любят оформлять всяческие подписочки. Но живем мы в реалиях, когда у студента ,условная, стипендия 1000р. В таких условиях платить подписочки, каждый месяц дело не простое, а вечерком залипнуть на любимый сериал под условное пивко — это дело приятное))
П.С.: Предчувствую «мильен» минусов, больнооо))
Переговоры
Мы пообщались с ребятами из Apple и объяснили им, что и как хотим сделать. Идея была воспринята с энтузиазмом.
На Apple Pay обкатывались все доработки процессинга, поэтому после выхода Samsung Pay и Android Pay каких-то технических сложностей не возникало, и по сути все подключение новой системы к банкоматам зависело только от успешности переговоров с вендором.
Когда ты делаешь что-то с расчетом на то, чтобы запуститься первым в мире, скорость работы будет играть довольно важную роль. В представлении большинства все процессы, связанные с банковской деятельностью и внедрением чего-то нового, должны быть довольно неторопливыми – тут и сама специфика банковской сферы, и присущая ей бюрократия, и множество других факторов, каждый из которых так или иначе тормозит ход работы.
В нашем же случае все происходило так быстро, что мы сначала что-то делали, внедряли и тестировали, а уже потом писали всю необходимую документацию и вносили возможные корректировки от вендора.
Здесь надо отдать должное нашему подрядчику, БПЦ Банковские технологии, который делал свою часть работы с максимальной оперативностью.
В итоге на все про все в случае с подключением Apple Pay у нас ушел месяц. В апреле 2021-го мы едем в Apple, а уже в начале мая проводим первые живые тесты на банкоматах.
Преимущества и недостатки
Положительными сторонами бесконтактных банкоматов являются:
- отсутствие необходимости носить с собой пластиковую карту;
- высокий уровень безопасности снятия наличных. Злоумышленники с помощью камер или считывающих устройств не смогут считать информацию по карте. Ведь пользователь ее не будет вставлять в специальное устройство;
- отсутствие дополнительных лимитов на снятие денег;
- ускоряет процедуру снятия денег.
К недостаткам же можно отнести:
- только небольшая сеть банкоматов оснащена технологией NFC;
- для доступа к меню банкомата необходимо наличие дополнительного устройства (смартфон, часы, браслет), которые обойдутся недешево. Либо же деньги можно снять и самой бесконтактной картой, но при этом теряется весь смысл нового способа обналичивания.
Бесконтактный банкомат еще один из этапов развития банковских технологий, которые направлены на повышение скорости обслуживания клиентов и улучшения его качества. С их помощью финансовые учреждения хотят еще больше привлечь к себе внимание потенциальных клиентов. И для этого они используют инновационные технологии, которые постепенно, но приближают будущее.
На сегодняшний день в тренде бесконтактные расчеты. Они не только ускоряют обслуживание, но и повышают безопасность операций при использовании карт с технологией PayPass или payWave или виртуальных карточек.
Злоумышленники с помощью камер или считывающих устройств, которые крепятся к картоприемнику, не смогут считать информацию по карте. Ведь пользователь не будет ее вставлять в банкомат.
Сейчас многие банки активно тестируют бесконтактные технологии: Альфа-Банк, Сбербанк, ВТБ24 и Тинькофф банк. Альфа-Банк уже может похвастаться успешной реализацией проекта. Сфера бесконтактного обслуживания клиентов сама по себе интересная и будет развиваться дальше.
Уже в ближайшем будущем банкиры планируют представить безклавиатурный банкомат. Это устройство предназначено только для бесконтактного доступа к своему счету, который клиент получает с помощью смартфона. Пользователь карты просто проводит все необходимые действия на экране своего телефона используя специальное приложение, а банкомат все полученные команды «послушно» выполняет.
Александр Бабин
Телефоном по банкомату: снять деньги можно будет с помощью смартфона
Российские банки внедряют возможность совершения операций в банкоматах с помощью смартфонов. Об этом «Известиям» рассказали представители топ-40 крупнейших по активам кредитных организаций. Сейчас такие бесконтактные платежи и переводы доступны в России лишь в 782 из 203 тыс. терминалов по приему и выдаче наличных. По оценкам экспертов, новые технологии сокращают время у банкомата на 1,5 минуты, а к 2020 году более половины различных платежей будет совершаться со смартфонов.
Крупнейшие кредитные организации запускают возможность совершения операций в банкоматах при помощи Apple Pay, Samsung Pay и Android Pay. Чтобы совершить платеж или перевод, клиенту достаточно приложить смартфон к специальному NFC-ридеру терминала. Операции проходят в одно касание.
В Тинькофф-банке и Альфа-банке «Известиям» сообщили, что уже протестировали и внедрили возможность совершения таких трансакций. Опция доступна более чем в 382 терминалах Тинькофф-банка и в 400 — Альфа-банка.
Таким образом, сейчас такая услуга есть в 782 банкоматах из 203 тыс. по всей России. До конца года Альфа-банк планирует переоборудовать под бесконтактные операции еще 700 аппаратов. Всего принимать переводы и платежи со смартфонов будут 2,4 тыс. из 3,7 тыс. банкоматов этой кредитной организации.
Сбербанк и банк «Русский стандарт» сейчас тестируют бесконтактные операции со смартфонов в своих банкоматах. В ВТБ, банке «Открытие», Московском кредитном банке, Почта-банке и Уральском банке реконструкции и развития «Известиям» сообщили, что трансакции с помощью Apple Pay, Samsung Pay и Android Pay будут доступны в их банкоматах в 2021 году.
В терминалах по снятию наличных большинства опрошенных «Известиями» кредитных организаций с помощью смартфона можно будет совершать те же операции, что и с обычной картой. В одно касание будут доступны переводы между счетами, внесение и снятие наличных, оплата услуг. Впрочем, в Сбербанке бесконтактным путем нельзя будет сменить пин-код на карте, а в Почта-банке при помощи Apple Pay, Samsung Pay и Android Pay можно будет только вносить и снимать наличные.
Примеру крупнейших банков последуют и другие кредитные организации, которые хотят заполучить новых клиентов и удержать действующих, считает советник предправления ассоциации «Финансовые инновации» Мурад Салихов.
Бесконтактные банкоматы значительно экономят время клиента по сравнению с трансакциями, совершаемыми с помощью карты, отметили в пресс-службе ВТБ. Операции со смартфоном позволят сократить время пользования банкоматом примерно на 1,5 минуты, именно столько требуется терминалу на считывание карты и на последующие операции, добавил Мурад Салихов.
В Сбербанке отметили, что такие операции безопаснее: клиент не забудет карту в банкомате.
Особенно бесконтактные терминалы нужны клиентам, которые привыкли платить с помощью телефона, добавил начальник управления по развитию систем самообслуживания блока «Розничный бизнес» Альфа-банка Максим Дерешин.
По прогнозам замдиректора аналитического департамента «Альпари» Натальи Мильчаковой, в 2020 году более половины платежей будет совершаться с помощью смартфона. По ее словам, уже сейчас 35% клиентов банков предпочитают расплачиваться бесконтактным способом. В течение двух-трех лет распространение банкоматов нового поколения будет практически повсеместным, полагает директор по развитию бизнеса «БКС Премьер» Антон Граборов.
По словам представителей Почта-банка, для переоборудования банкоматов под бесконтактные операции достаточно оснастить АТМ NFC-ридером. Максим Дерешин отметил, что затраты кредитных организаций на это несущественны. Стоимость одного NFC-ридера составляет 24 тыс. рублей.
Операции с помощью смартфонов в банкоматах распространены в мире, в том числе в США и странах Евросоюза.
Уязвимости nfc позволяют взломать банкомат, просто взмахнув смартфоном
Исследователь безопасности обнаружил ряд ошибок, позволяющих взламывать банкоматы и широкий спектр терминалов продаж по-новому — взмахом телефона над устройством для чтения бесконтактных банковских карт. К старту курса Этичный хакер делимся переводом статьи о возможностях, которые открываются при эксплуатации обнаруженных уязвимостей, о том, что делал автор, чтобы обнаружить их и о том, как отреагировали производители банкоматов.
Иосип Родригес, Исследователь и консультант по безопасности охранной фирмы IOActive провёл последний год в поисках уязвимости в так называемых чипах коммуникации ближнего поля (NFC), работающих в миллионах банкоматов и терминалов продаж по всему миру. С NFC для проведения платежа или вывода денег из банкомата не нужно вставлять карту — достаточно провести её над считывателем. Технология работает в бесчисленных розничных магазинах и ресторанах, торговых автоматах, паркоматах и такси по всему миру.
Родригес написал приложение для Android, позволяющее смартфону имитировать радиосвязь банковских карт и эксплуатировать недостатки прошивки систем NFC. Одним взмахом смартфона он может вывести из строя терминалы продаж, взломать их для сбора и передачи данных банковских карт, незаметно изменить стоимость транзакций и даже заблокировать устройство, отобразив сообщение программы-вымогателя.
Родригес утверждает, что он даже может заставить банкоматы, по крайней мере одной марки, выдавать наличные, хотя такой «джекпоттинг» работает только в сочетании с другими ошибками, которые, по его словам, он нашёл в программном обеспечении банкоматов. Из-за соглашений о неразглашении с поставщиками банкоматов Родригес отказался уточнять или раскрывать эти ошибки.
«Можно модифицировать прошивку и изменить цену, например на один доллар, пока на экране отображается другая цена, вывести устройство из строя или установить своего рода программу-вымогатель — вариантов много», — рассказывает Родригес об обнаруженных им уязвимостях.
«Выстроив цепочку атак, а также отправив специальную полезную нагрузку на компьютер банкомата, вы сможете снять деньги с банкомата, как джекпот, просто проведя телефоном над NFC-считывателем».
Исследователь рассказывает, что с июня по декабрь 2020 года он предупреждал о своих находках пострадавших поставщиков, включая ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo, а также неназванного поставщика банкоматов.
Тем не менее исследователь также предупреждает о том, что затронуто огромное количество систем, а также о факте, что многие терминалы и банкоматы обновляют ПО нерегулярно, во многих случаях требуя физического доступа для обновления. Это означает, что многие устройства, вероятно, останутся уязвимыми. «Физическое исправление стольких сотен тысяч банкоматов потребует много времени», — говорит Родригес.
В качестве демонстрации таких уязвимостей Родригес поделился с WIRED видео, где он проводит смартфон над NFC-считывателем банкомата на улице его дома, заставляя банкомат вывести сообщение об ошибке. Считывающие устройство выходит из строя и больше не читает его карту, когда исследователь прикладывает её к банкомату.
Он также не предоставил видеодемонстрацию атаки джекпоттинга, поскольку, по его словам, мог легально протестировать только устройства, полученные в рамках консультаций IOActive по вопросам безопасности для пострадавшего поставщика банкоматов, с которым IOActive подписала соглашение о неразглашении.
«Полученные результаты — отличное исследование уязвимости работающего на встраиваемых устройствах программного обеспечения», — говорит Карстен Нол, основатель фирмы по безопасности SRLabs и известный взломщик прошивок, который проанализировал работу Родригеса.
Однако Нол указывает на несколько недостатков, которые делают метод непрактичным в реальных кражах. Взломанный считыватель NFC может украсть только данные карты с магнитной полосой, но не PIN-код жертвы или данные с чипов EMV. И тот факт, что трюк с обналичиванием денег из банкомата потребует дополнительной уязвимости в коде конкретного банкомата, — немаловажная оговорка, утверждает Нол.
Вместе с тем исследователи в области безопасности, такие как покойный хакер IOActive Барнаби Джек и команда Red Balloon Security, уже много лет вскрывают уязвимости банкоматов и даже показали, что хакеры могут удалённо запускать джекпоттинг ATM. Генеральный директор и главный научный сотрудник Red Balloon Анг Куи рассказывает, что впечатлён выводами Родригеса и, несмотря на то что IOActive утаила некоторые детали своей атаки, не сомневается, что взлом считывателя NFC может привести к выдаче наличных во многих современных банкоматах.
«Я думаю, очень правдоподобно, что как только вы получите возможность выполнения кода на любом из этих устройств, то сможете добраться до главного контроллера: он полон уязвимостей, которые остаются в системе более десяти лет», — говорит Куи. «Оттуда, — добавляет он, — абсолютно точно возможно контролировать кассетный диспенсер, который хранит и выдаёт наличные деньги пользователям».
Родригес, который провёл годы, тестируя безопасность банкоматов в качестве консультанта, рассказывает, что год назад начал изучать вопрос о том, могут ли бесконтактные считыватели карт банкоматов, чаще всего продаваемые компанией ID Tech, специализирующейся на платёжных технологиях, — служить средством их взлома. Он начал покупать считыватели NFC и терминалы продаж на eBay и вскоре обнаружил, что многие из них страдают от одного и того же недостатка безопасности: они не проверяют размер пакета данных, отправляемого через NFC с банковской карты на считыватель, этот пакет называют пакетом данных протокола приложения или APDU.
Чтобы отправить APDU в сотни раз больше обычного и вызвать переполнение буфера, Родригес написал приложения для Android с NFC. Уязвимость переполнения буфера существует уже десятилетиями, она позволяет хакеру повредить память целевого устройства и запустить свой код.
Когда WIRED связались с пострадавшими компаниями, ID Tech, BBPOS и Nexgo не ответили на просьбы о комментариях, также отказалась от комментариев Ассоциация индустрии банкоматов. Компания Ingenico в своём заявлении сообщила, что благодаря принятым мерам безопасности способ переполнения буфера Родригеса мог только вывести из строя её устройства, но не позволял выполнить код на них. Однако, «учитывая неудобства и последствия для наших клиентов», компания всё равно выпустила исправление.
Родригес сомневается, что меры Ingenico действительно предотвратят выполнение кода, но он не написал доказательство концепции для демонстрации.
Компания Verifone, в свою очередь, заявила, что нашла и устранила уязвимости терминалов, на которые Родригес обратил внимание в 2021 году, задолго до того, как он сообщил о них. Но Родригес утверждает, что это лишь демонстрирует непоследовательность исправления в устройствах компании; он говорит, что протестировал свои методы взлома с помощью NFC на устройстве Verifone в ресторане в прошлом году и обнаружил, что оно по-прежнему уязвимо.
Многие находки исследователя оставались в тайне целый год, в ближайшие недели Родригес планирует поделиться техническими деталями уязвимостей на вебинаре, отчасти, чтобы подтолкнуть клиентов пострадавших производителей внедрить выпущенные исправления.
Кроме того, Родригес хочет привлечь внимание к плачевному состоянию безопасности встраиваемых устройств в целом. Он был потрясён, обнаружив, что такие простые уязвимости, как переполнение буфера, сохранились во многих широко используемых устройствах — тех, которые работают с наличными и конфиденциальной финансовой информацией.
«Многие годы эти уязвимости присутствуют в прошивке устройств, с которыми мы каждый день сталкиваемся при работе с банковским картами, с нашими деньгами, — говорит он. — Они должны быть защищены».
Из этого материала становится ясно, что даже системы, которые непосвящённому человеку кажутся самыми надёжными, могут подводить из-за недостатков, известных уже десятки лет. Если вам хочется самому находить такие уязвимости, то научиться всему можно на нашем курс для пентестеров со специальной скидкой по промокоду HABR.
Узнайте, как прокачаться и в других специальностях или освоить их с нуля: