Лучшее с мировых ИБ-конференций. Как взломать NFC и Apple Pay и уронить человека с гироскутера — «Хакер»

Что делать, если потерял телефон с nfc

Самый простой способ завладеть вашими деньгами — украсть ваш смартфон с NFC. Иногда для этого даже не нужно ничего делать — забывчивые клиенты теряют карты в такси, магазинах, но вычислить злоумышленников реально, пока они совершают мелкие покупки за ваш счет.

Реально украсть деньги со смартфона с NFC? Это очень сложно. Нужно очень постараться, чтобы не пользоваться отпечатком пальца на устройстве. Даже в случае, если вы отключили эту защиту, мошеннику необходимо будет узнать ваш пароль от смартфона. Стоит отметить, что важно быть осторожным с Google Pay — там доступны покупки без ввода пароля и отпечатка до 1000 рублей.

Другая ситуация обстоит со смарт-часами и фитнес-браслетами: с их помощью можно расплатиться и без какой-либо защиты. В браслетах с NFC тоже лучше ставить пароль на использование устройства, всякое может случиться.

Уязвимости платежей на основе nfc

NFC работает на дистанции не более 10 сантиметров на частоте 13,56 МГц. Технология подразумевает обязательное наличие инициатора и цели. Инициатор генерирует активное поле, а цель считывает его в пассивном режиме.

Над получением доступа к данным, передаваемым по NFC, уже сейчас бьются учёные и хакеры. Исследователям из британского Университета Суррей удалось считать данные, передаваемые с помощью NFC-решений в супермаркете. Для этого использовались портативные гаджеты, которые не вызывали подозрения у покупателей. При этом они находились на расстоянии 45 сантиметров от получателя информации.

Испанские хакеры Рикардо Родригес и Хосе Вилла использовалипсихологию человека и создали вирус для мобильной операционной системы Android. Они рассудили, что человек часто носит кошелёк с карточками, поддерживающими технологию NFC со смартфоном.

По сути, вирус делает телефон своеобразным ретранслятором сигнала банковской карты. И злоумышленник может оплатить покупку вашей картой, дождавшись, когда вирус отправит информацию о том, что карта готова к осуществлению транзакции. Такой вид взлома получил названием relay-атаки.

Хакер имплантировал чип nfc в руку, чтобы обходить сканеры систем безопасности и управлять андроид-телефонами

Опираясь на «хакерские» стереотипы, довольно легко идентифицировать человека, совершившего кибер-преступление. Сочетание бледности кожи, толстовки и ноутбука представляет собой яркую подсказку. Подобный заезженный образ хакера, конечно же, совершенно неверен и граничит с оскорблением. Настоящие хакеры, проникающие в бизнес-сети, достаточно благоразумны для того, чтобы избегать клише в собственной одежде и стремиться скрывать приемы своей работы.

Для тех, кто в состоянии терпеть боль, биохакинг, при котором цифровые устройства вводятся под кожу, обеспечивает новые возможности настоящих стелс-навыков, помогающих проникать сквозь физические и цифровые системы сканирования. Именно поэтому младший офицер ВМС США Сет Уэль, в настоящее время являющийся инженером APA Wireless, имплантировал электронный чип в ладонь своей левой руки – в область между расставленными большим и указательным пальцами. Чип обладает NFC-антенной (Near Field Communications), которая пингует андроид-коммуникаторы с запросом установления соединения. Как только пользователь соглашается открыть доступ и установить вредоносный файл, его коммуникатор подключается к удаленному компьютеру, владелец которого может осуществлять дальнейшие действия с данным мобильным устройством. Проще говоря, такой андроид-коммуникатор оказывается взломанным. В демонстрации для Форбс Уэль, тестируя программное обеспечение своего ноутбука, применял Metasploit-проникновение, чтобы заставить андроид-устройства сфотографировать его собственную жизнерадостную физиономию.

Как утверждает секретарь комитета мероприятий и консультант по безопасности Род Сото, Уэль будет проводить показательную скрытую атаку во время конференции по проблемам хакерства, которая состоится в мае этого года в Майами. Сото и Уэль признают, что это довольно сырая часть исследования, реализуемая при помощи уже имеющихся инструментов и известной техники атаки посредством NFC, однако они утверждают, что технологии вторжения на основе имплантантов могли бы предоставить преступникам особо эффективный метод в их «наборе инструментов для социальной инженерии».

В то время, как авиакомпании и федеральные агентства жестко преследуют любого, кому бы лишь вздумалось протестировать устойчивость и безопасность полетных систем связи, имплантируемые чипы обеспечивают хитроумный способ прокрасться сквозь электронные пункты контроля в аэропортах или других местах с зонами повышенной безопасности. Уэль говорит, что он имплантировал чип еще в период службы в армии и с тех пор его ни разу не смогли обнаружить, несмотря на то, что он проходит через сканеры каждый день. “Если они собираются обнаружить чип, им нужно отправить меня на рентген”.

“Этот вживленный чип может обойти практически любые меры безопасности из существующих на данный момент, и мы приведем тому доказательства”, — утверждает Сото.

Учитывая повсеместное внедрение NFC-технологий в бизнесе, имплантаты могут обеспечить процесс маршрутизации в различных сетях. Несколько усовершенствованный код чипа увеличит его потенциал в отношении причинения более серьезного ущерба, особенно в том случае, если «zero-day»-событие (не подлежащее исправлению, ранее неизвестное уязвимое место) было активировано посредством чипа, предупреждает Сото.

Однако имплантаты – не для щепетильных. Уэль утверждает, что игла была крупнее, чем он ожидал, когда ему за $40 имплантировал чип “не имеющий лицензии любитель”, и этого было достаточно, чтобы его стошнило. Он говорит, что ему пришлось пережить подобную «подпольную» операцию из-за законов штата Флорида, запрещающих модифицирование тела человека. Сначала Уэль должен был приобрести чип, предназначенный для введения в тела животных сельскохозяйственного предназначения производства китайской компании Freevision (см. изображения их продуктов для животных и внушительных размеров шприц, используемый Уэлем). При этом Уэль говорит, тыча цилиндрический объект в объектив своей веб-камеры во время разговора по скайпу с Форбс, что чип, который имеет всего 888 байт памяти и заключен в капсулу Schott 8625 Bio-glass, сейчас еле заметен.

Существуют некоторые явные ограничения на проведение имплант-атак, но они могут быть преодолены при помощи различных средств. Например, вредоносный андроид-файл, созданный Уэлем и Сото, теряет соединение с атакующим сервером в том случае, если телефон заблокирован или когда устройство перезагружается, однако, согласно техническому руководству Уэля по методике проведения атак, с помощью программного обеспечения, которое работает в качестве фоновой службы, запускающейся при загрузке, эту проблему можно будет решить. Поскольку мошеннический код должен быть установлен вручную, в процессе атаки также необходимы некоторые «благопристойные» приёмы социальной инженерии, хотя «легитимизация» вредоносного файла при помощи подписей GooglPlay и инициация дополнительных действий пользователя, направленных на его принудительную установку, сведут к минимуму необходимость очарования и хитрости.

Кевин Уорвик, который считает себя первым человеком с имплантированным в своем теле чипом NFC, рассказал Форбс о том, что “хорошо, что данное конкретное приложение проходит тестирование, поскольку это дает некое представление о его возможностях и выявленных опасностях”. Уорвик, в настоящее время являющийся профессором кибернетики в университете Рединга в Великобритании, также отметил неспособность систем безопасности обнаружить данную технологию. “Подобный имплантат не выявляется в аэропортах и аналогичных местах, содержание металла в нем намного-намного меньше, чем в наручных часах или обручальном кольце. Даже мой нейронный имплантат образца 2002 года с кусочком платиновой проволоки ни разу не был обнаружен. Фактически, у меня до сих пор проводки в руке и при этом я регулярно летаю.”

В Майами Уэль и Сото планируют подробно описать действия хакеров, которые им необходимо будет осуществить, чтобы добавить в свой арсенал технологию имплантатов, в том числе, каким образом можно будет приобрести требуемое оборудование и запрограммировать чип. Может ли это послужить началом вредоносного биохакинга? “Это лишь верхушка айсберга… любой в состоянии это сделать”, — добавляет Сото.

«призрачный телефонист» выдает себя за вас посредством lte csfb

«Ghost Telephonist» Impersonates You Through LTE CSFB // Black Hat. 2021

В докладе представлена одна из уязвимостей CSFB-коммутации в сотовой сети 4G LTE. Докладчик обнаружил, что при CSFB-коммутации процедура аутентификации отсутствует. Это дает потенциальному злоумышленнику возможность перехватывать все коммуникации жертвы. Разработанную на основе этой уязвимости атаку докладчик назвал «призрачный телефонист».

Эта уязвимость позволяет изготовить несколько эксплоитов. Во-первых, когда звонок или SMS не зашифрованы или зашифрованы слабо, злоумышленник может выдавать себя за жертву: принимать от ее имени вызовы/сообщения, а также инициировать их. Во-вторых, «призрачный телефонист» может получить номер телефона своей жертвы и затем использовать этот номер для совершения продвинутой атаки, например взламывать аккаунты в различных интернет-сервисах.

Атака не нуждается в поддельной базовой станции, поэтому стоимость ее реализации низкая. Кроме того, жертва не сможет обнаружить факт нападения, потому что нет поддельной базовой станции и нет перевыбора соты.

Apple pay — «самая безопасная» форма оплаты

Timur Yunusov. The Future of ApplePwn — How to Save Your Money // Black Hat. 2021

Как нетрудно догадаться из названия (особенно из кавычек вокруг «самая безопасная»), докладчик подробно рассматривает уязвимости этого платежного сервиса.

Такие характеристики Apple Pay, как выделенный процессор для проведения платежных транзакций (выполненный в качестве защищенного анклава), передача и хранение платежной информации (за пределами анклава) исключительно в зашифрованном виде, на первый взгляд, делают эту систему неприступной для злоумышленника.

Однако докладчик представляет специализированный софт с открытым исходным кодом, позволяющий обойти всю эту защиту и превратить iPhone с поддержкой Apple Pay в настраиваемый жучок для клонирования банковских карт. Также докладчик показывает, что Apple Pay API предоставляет намного больше функций, чем нужно для эмуляции банковской карты, — функций, которые дают потенциальному злоумышленнику обширные возможности в манипулировании торговым оборудованием через iPhone.

Под конец докладчик резюмирует безапелляционным утверждением: «Может быть, кто-то и считает, что Apple Pay — это самая безопасная форма оплаты, но мы-то знаем, что Apple Pay представляет собой перспективный инструмент для кардинга».

Dirtytooth: получил музыку — потеряй контакты

Kevin Mitnick. DirtyTooth: Put music & lose your contacts // ToorCon. 2021

Доклад Кевина Митника, легендарного персонажа хакерской сцены. В последнее время его имя обычно всплывает только при обсуждении социальной инженерии, но, как можно видеть из этого доклада, социальная инженерия — далеко не единственное, в чем Митник силен.

Bluetooth-коммуникации сегодня на подъеме. Миллионы людей пользуются этой технологией для комфортного подключения к периферийным устройствам. В докладе представлен трюк/хак для iOS 10.3.2 (и более ранних версий этой ОС) для взлома механизма управления профилями.

Nfc пользуется популярностью

По данным компании Visa, больше трети тех, кто не пользуется бесконтактными платежами готовы в будущем начать платить смартфоном. К концу 2021 года все выпущенные Сбербанком новые карты, кроме карт моментальной выдачи и электронных, будут поддерживать NFC.

Одной из основных опасностей является фрод или мошенничество с картами. Например, в Великобритании в прошлом году держателям карт был нанесен ущерб в £618 млн. Тогда как годом ранее этот показатель был на уровне £609,9 млн. Объём ущерба для владельцев бесконтактных карт составил £6,9 млн. И важно сейчас рассказать людям о правилах безопасности, прежде чем они лишатся денег на картах.

Wifuzz: обнаружение и эксплуатация логических уязвимостей в криптографическом рукопожатии wi-fi

Mathy Vanhoef. WiFuzz: detecting and exploiting logical flaws in the Wi-Fi cryptographic handshake // Black Hat. 2021

Шифрованный Wi-Fi приобретает все большую популярность. Такие новые стандарты, как Hotspot 2.0 и Opportunistic Wireless Encryption, тому подтверждение. Hotspot 2.0 упрощает поиск и выбор сети, создавая инфраструктуру, действующую по тому же принципу, что и роуминг в сотовых сетях.

С другой стороны, Opportunistic Wireless Encryption вводит неавторизованное шифрование для сетей Wi-Fi. Задумка этих решений хорошая. Но они не будут иметь ровным счетом никакого смысла, если при реализации четырехэтапного криптографического рукопожатия Wi-Fi (во время которого девайсы договариваются о новых сессионных ключах) допущены ошибки.

В этом докладе рассказывается и демонстрируется, как обнаруживать уязвимости в реализации этого рукопожатия и как злоупотреблять ими. Причем здесь речь идет не о традиционных ошибках программирования (таких как переполнение буфера или повторное освобождение памяти), а о логических уязвимостях.

Примером логической уязвимости может быть ситуация, когда при рукопожатии некоторые сообщения пропускаются, в результате чего могут быть использованы неинициализированные криптографические ключи. Очевидно, что подобные уязвимости сводят на нет любые гарантии безопасности.

Чтобы обнаружить такие логические уязвимости, докладчик сначала строит модель рукопожатия Wi-Fi, которая описывает ожидаемое поведение. Далее автоматически генерирует полный набор некорректных вариантов рукопожатия и затем проверяет, правильно ли на них реагирует реализованная модель (соответствует ли ее ответ идеализированной модели).

Докладчик протестировал двенадцать точек доступа Wi-Fi и в каждой обнаружил уязвимости. Среди них: возможность обхода процедуры аутентификации, снятие «отпечатков пальцев», атака на понижение защиты, DoS-атаки и другие. Наиболее чувствительные уязвимости найдены в OpenBSD.

Первая из них может быть эксплуатирована для DoS-атаки на точку доступа. Вторая — для MiTM-атаки против клиентов WPA1 и WPA2. Докладчик также обнаружил уязвимости, позволяющие провести «атаку на понижение» против MediaTek и Broadcom, которая заставляет использовать TKIP и RC4.

Азы радиохакинга: методы беспроводных атак

Matt Knight, Marc Newlin. Radio Exploitation 101: Characterizing, Contextualizing, and Applying Wireless Attack Methods // DEF CON. 2021

Что общего у взлома противоторнадной сирены Далласа, у взлома электроскейтов и у взлома умных дверных замков? Уязвимые протоколы беспроводных коммуникаций!

Взлом беспроводных устройств становится все более распространенным явлением — благодаря тому, что набирают популярность IoT и радиочастотные протоколы с управлением через мобильники. Хотя все те радиочастотные протоколы, которые не относятся к категории Wi-Fi и Bluetooth, остаются для многих практикующих безопасников тайной, покрытой мраком, взламывать их намного проще, чем может показаться.

Этот доклад закладывает фундаментальные основы современного радиохакинга. После вводной информации про основополагающие радиочастотные концепции докладчик представляет классификацию беспроводной угрозы. Описывая беспроводные атаки, докладчик проводит параллели с классическими эксплоитами для проводных сетей, а также выделяет моменты, которые уникальны только для беспроводных сетей. Подкрепляет описываемые концепции живыми демонстрациями, реализованными на SDR-девайсе и аппаратном радио.

Доклад помогает сформировать ясное понимание, как взламывают беспроводные сети и как применить свои навыки эксплуатации проводных сетей к сетям беспроводным.

Безопасность бесконтактных платежей

Бесконтактная оплата достаточно безопасна, несмотря на различные слухи о воровстве денег. Смартфоны с NFC устанавливают соединение с терминалом, а гаджет проходит идентификацию, передавая информацию о счете, откуда списывается сумма. У приложений для оплаты есть уникальный номер устройства — это помогает обеспечить дополнительную защиту.

Кроме того, взлому может помешать расстояние. В интернете есть много историй о том, как у людей в каким-то образом списывали деньги со смартфонов с NFC. Это ложь: единственным способом украсть деньги, находясь на расстоянии, остается взлом самого устройства.

Взлом умного пистолета

Popping a Smart Gun // DEF CON. 2021

Умные пистолеты продают с обещанием: стрелять они будут только из рук авторизованных пользователей. В кино такие обещания, может быть, и работают, но в реальности дела обстоят иначе.

В этом докладе исследуется безопасность одного из таких умных пистолетов, который доступен в продаже для широкой общественности, и демонстрируются три его уязвимости. Во-первых, показано, как из пистолета можно стрелять даже вдали от его хозяина. Во-вторых, как заблокировать стрельбу, даже если выстрелить хочет законный владелец пистолета.

Защита бесконтактных банковских карт

Все терминалы используют специальный стандарт безопасности EMV (Europay, MasterCard, VISA). Он есть во всех устройствах, которыми можно оплачивать покупки. При оплате смартфоном или смарт-часами в системе создается одноразовый ключ, а терминал отправляет запрос в банк.

Даже если мошенники перехватят одноразовый ключ, то для пользователя не будет никаких последствий. Код запрашивается только для одной транзакции, а после он уже будет недействителен. То же самое происходит, когда вы пытаетесь оплатить покупку, а транзакция не прошла — для новой попытки будет совершенно другой ключ.

Как работает nfc

Передача данных между устройствами происходит, когда пользователи активируют функцию бесконтактного поля. Чтобы все сработало, устройства должны быть как можно ближе друг к другу: вспомните, насколько небольшое расстояние должно быть между смартфоном и терминалом при оплате покупки.

Клонирование rfid-маячков в полевых условиях в режиме реального времени

Dennis Maldonado. Real-time RFID Cloning in the Field // DEF CON. 2021

Сегодня существует много довольно неплохих решений для клонирования RFID-маячков. Однако процесс клонирования, как правило, медленный, утомительный и чреват ошибками. Что, если бы появился новый способ клонирования бейджей с RFID-начинкой, свободный от всех этих проблем?

В этом докладе представлен более умный способ клонирования RFID-маячков, который возможно проводить в полевых условиях. В докладе рассмотрены наиболее популярные из инструментов и методов для дальнодействующего RFID-клонирования. Затем обсуждается и демонстрируется новый метод, который позволяет клонировать RFID-маячки в полевых условиях — в считаные секунды.

Клонирование карт и транзакций

Кло­ниро­вать бес­контак­тные кар­ты EMV, что­бы их тран­закции мог­ли про­ходить авто­риза­цию в реаль­ном вре­мени, невоз­можно. Зло­умыш­ленни­ки или иссле­дова­тели пока что не научи­лись извле­кать крип­тогра­фичес­кие клю­чи для соз­дания пла­теж­ных крип­тограмм. Одна­ко это не единс­твен­ный спо­соб изго­товить фун­кци­ональ­ный клон кар­ты:

Криптография

Разумеется, подобраться к карточке — это только полдела. Дальше нужно преодолеть более серьезную защиту, основанную на криптографии.

Бесконтактные транзакции защищены тем же стандартом EMV, что и чиповые карты. В отличие от магнитной дорожки, которую можно просто скопировать, с чипом этот фокус не проходит. По запросу терминала микросхема каждый раз генерирует одноразовый ключ. Этот ключ можно перехватить, но он уже не подойдет для следующей транзакции.

Исследователи безопасности неоднократно ставили под сомнение защищенность EMV, но до сих пор реально работающих на практике сценариев взлома обнародовано не было.

Есть, правда, одна деталь. В стандартной реализации защита чиповых карт строится на комбинации криптоключей и ввода пользователем PIN-кода. При бесконтактных транзакциях PIN-код обычно не запрашивается, так что остаются только криптоключи чипа карты и терминала.

«Сделать терминал, который будет считывать данные карты «из кармана» клиента, теоретически возможно. Но этот терминал должен иметь «на борту» криптографические ключи, полученные у банка-эквайера и платежной системы. Ключи выдаются по договору с юридическим лицом, то есть с банком-эквайером.

Легаси

Пер­вым, кто еще в 2021 году обра­тил вни­мание на небезо­пас­ность режимов легаси при бес­контак­тном методе опла­ты, был ис­сле­дова­тель Питер Фил­лмор (Peter Fillmore).

Что такое бес­контак­тные легаси‑режимы и зачем они соз­давались в 2021 году? Легаси‑режимы — спе­циаль­ные режимы для тер­миналов, которые не уме­ли работать с крип­тогра­фией, в основном аме­рикан­ских. Так­же из‑за обратной сов­мести­мос­ти кар­ты и тер­миналы, все‑таки уме­ющие в сов­ремен­ную крип­тогра­фию, мож­но исполь­зовать в легаси‑режимах.

Кар­ты Visa в режиме легаси MSD (Magnetic Stripe Data) поп­росту переда­ют Track2 Equivalent с динами­чес­ким полем CVV, меня­ющим­ся «вре­мя от вре­мени». То есть один и тот же CVV мож­но исполь­зовать боль­ше одно­го раза. Одна­ко этот режим так­же обла­дает недос­татком, поз­воля­ющим исполь­зовать некор­рек­тное зна­чение поля CVV2, о чем уже говори­лось в пре­дыду­щей статье.

То есть дан­ные, счи­тан­ные с маг­нитной полосы, с чипа или бес­контак­тно­го чипа кар­ты, могут быть записа­ны и вос­про­изве­дены спе­циаль­ным при­ложе­нием по про­токо­лу NFC и банк будет счи­тать это бес­контак­тной тран­закци­ей. Рус­ский прог­раммист Дмит­рий Холодов даже раз­местил в Google Play при­ложе­ние, поз­воля­ющее счи­тывать и сох­ранять эти дан­ные на телефо­не с Android.

Кар­ты MasterCard пош­ли чуть даль­ше: в их режиме легаси, называ­ющем­ся PayPass M-Stripe, кар­та при­нима­ет от тер­минала слу­чай­ное чис­ло UN, исполь­зует счет­чик ATC и генери­рует поле авто­риза­ции CVC3 на осно­ве этих дан­ных. Далее тер­минал сам соз­дает из перечис­ленных зна­чений динами­чес­кий Track2 Equivalent и посыла­ет бан­ку для авто­риза­ции пла­тежа.

Ре­жим обла­дает глав­ным недос­татком — низ­кой энтро­пией поля UN и отсутс­тви­ем дру­гих полей для энтро­пии, таких как сум­ма пла­тежа, дата тран­закции. UN может занимать от 3 до 5 байт, каж­дый байт сос­тоит толь­ко из цифр. Зна­чит, на вход кар­те может пос­тупить 999, 9999 или 99 999 раз­личных зна­чений UN.

Да­лее зло­умыш­ленник совер­шает пла­теж на тер­минале, который под­держи­вает режим M-STRIPE, исполь­зуя телефон с кло­ниро­ван­ными тран­закци­ями. Тер­минал генери­рует слу­чай­ное поле UN, телефон ищет в сво­ей базе тран­закций кор­рек­тную пару ATC/CVC3, отно­сящу­юся к это­му UN, и отда­ет тер­миналу.

Тут сто­ит напом­нить, что пла­теж­ные сис­темы рекомен­дуют сле­дить за поряд­ком зна­чений счет­чика и не при­нимать тран­закции со зна­читель­ными прыж­ками этих самых зна­чений ATC. Если сис­темы антифро­да нас­тро­ены кор­рек­тно, зло­умыш­ленни­кам не удас­тся совер­шить более одно­го пла­тежа, потому что для сле­дующе­го пла­тежа зна­чение слу­чай­ного поля UN при­ведет к появ­лению такого же слу­чай­ного зна­чения поля ATC, гораз­до выше или ниже пре­дыду­щего.

Дру­гой обна­ружен­ный иссле­дова­теля­ми спо­соб мошен­ничес­тва — зас­тавить тер­минал поверить, что энтро­пия UN = 0. Тог­да он вер­нет толь­ко одно воз­можное зна­чение UN = 00000, и ему соот­ветс­тву­ет толь­ко одна пара ATC/CVC3. В этом слу­чае кло­ниро­вать кар­ту ста­новит­ся неверо­ятно лег­ко. Нам даже уда­лось най­ти один рос­сий­ский банк, который был под­вержен такой ата­ке.

Од­но из хороших опи­саний недос­татков режимов легаси на рус­ском язы­ке вы­ходи­ло в 2021 году. Одна­ко я спе­шу не сог­ласить­ся с авто­ром в том, что проб­лема в целом решена: за пос­ледний год я нашел две работа­ющих в режиме Legacy рос­сий­ских кар­ты MasterCard, а так­же одну кар­ту и один кар­точный эквай­ринг в Рос­сии, которые под­держи­вают уж сов­сем небезо­пас­ный режим Visa MSD.

Под­ход к реали­зации режимов легаси инте­ресен еще и с точ­ки зре­ния при­мени­мос­ти атак на них в реаль­ном мире. Ата­ки на кар­ты Visa до сих пор чрез­вычай­но популяр­ны и име­ют пов­семес­тное рас­простра­нение. Ведь для того, что­бы совер­шать бес­контак­тные пла­тежи по кар­там Visa, мож­но исполь­зовать информа­цию, дос­тупную для про­дажи на спе­циаль­ных форумах, — Track2 или Track2 Equivalent.

Ле­гаси‑режим карт MasterCard тоже обла­дает уяз­вимос­тями, поз­воля­ющи­ми их ата­ковать. Одна­ко эти ата­ки гораз­до слож­нее при­менить в реаль­ных усло­виях, пос­коль­ку для них нужен физичес­кий дос­туп к кар­те жер­твы, хотя бы на минуту. Вот почему подоб­ные ата­ки прак­тичес­ки не встре­чают­ся в «дикой при­роде».

Сто­ит отме­тить, что боль­шинс­тво мобиль­ных кошель­ков — GPay, SamsungPay, кас­томные HCE (Host-Card Emulation, при­ложе­ние на Android, которое эму­лиру­ет кар­ты) — так­же под­держи­вают режимы M-Stripe и MSD. Но об этом мы погово­рим в раз­деле, пос­вящен­ном мобиль­ным кошель­кам и дру­гим нес­тандар­тным пла­теж­ным устрой­ствам.

Манипулируем iot-девайсами через радиосигналы

Caleb Madrigal. Controlling IoT devices with crafted radio signals // DEF CON. 2021

Этот доклад — идеальный экскурс в работу беспроводной связи. В докладе продемонстрировано, как захватывать цифровые данные в режиме реального времени (при помощи SDR), — вплоть до того, что показывается, как именно информационные биты передаются. Объясняется, как просматривать, прослушивать, воспроизводить беспроводные сигналы и манипулировать ими, как прерывать беспроводные коммуникации и даже как генерировать новые радиоволны с нуля — иначе говоря, делать радиоинъекции (радиоинъекции могут быть полезны при фаззинге и брутфорс-атаках).

Докладчик также демонстрирует разработанные собственноручно инструменты (на базе SDR), облегчающие перехват и генерацию беспроводных цифровых сигналов.

Мораль

Хотя сама технология бесконтактных платежей действительно закрыта хорошей многофакторной защитой, это совсем не значит, что с ней ваши деньги находятся в безопасности. Слишком многое в банковских картах связано с давно устаревшими технологиями (магнитная полоса, онлайновый платеж без дополнительной аутентификации и так далее).

Еще больше зависит от добросовестности настроек конкретных финансовых учреждений и магазинов. Причем последние в погоне за высокой скоростью покупок и низким процентом «брошенных корзин» нередко очень сильно пренебрегают безопасностью платежа.

Посему стандартные советы по обеспечению безопасности сохраняют свою актуальность и в этом случае. Берегите карту и PIN-код от чужих глаз, не «светите» ее где попало, смотрите, что устанавливаете на смартфон, обзаведитесь антивирусом, включите SMS-уведомления об операциях, а при первом подозрении обращайтесь в банк.

Ну а для полной уверенности в том, что никто и никаким образом не сможет считать вашу бесконтактную карту без вашего ведома, можно купить специальный экранированный кошелек. Уж физику точно не обманешь.

Мы пойдем другим путем

Так что же, получается, что мошенническая NFC-транзакция неизбежно будет задержана банком или платежной системой? Скорее всего, да, если в этой схеме не задействованы недобросовестные работники на стороне банка.

Но есть и еще одна неприятная возможность. Через NFC можно украсть не «саму транзакцию», а информацию о банковской карте.

Стандарт EMV допускает хранение определенных данных в незашифрованном виде в памяти чипа карты. К таким данным могут относиться номер карты, несколько последних совершенных операций и так далее (какая именно информация и как хранится в чипе, определяют банк-эмитент и платежная система).

До сих пор считалось, что эта открытая информация не ставит под угрозу безопасность карты. Однако авторитетное британское издание для потребителей «Which?» выступило с неожиданным опровержением этого тезиса.

Эксперты «Which?» протестировали десяток разных бесконтактных карт, выпущенных британскими банками. С помощью доступного NFC-ридера и бесплатного ПО им удалось декодировать номер и дату истечения срока действия для всех десяти карт.

Казалось бы, беспокоиться рано. Ведь для онлайновой транзакции обычно требуется еще CVV-код карты.

К сожалению, многие интернет-магазины в реальности не требуют его для покупки. Что и продемонстрировали эксперты «Which?», успешно заказавшие телевизор за 3 тыс. фунтов в одном из крупных онлайн-ритейлеров.

Новая версия mitm-атаки: man in the nfc

Haoqi Shan. Man in the NFC: Build a NFC proxy tool from sketch // DEF CON. 2021

Технология NFC (Near Field Communication) широко используется в областях, напрямую связанных с финансами и доступом к чувствительной информации. Уверен, что любой, кто когда-либо «платил телефоном» или смарт-часами, со мной согласится. 🙂 Где деньги — там хакеры, и неудивительно, что против этой технологии постоянно придумывают новые атаки.

В докладе представлен инструмент для проведения одной из таких атак — аппаратная примочка UniProxy, построенная на базе микроконтроллера PN7462AU (ARM’ированный чип с NFC-железом на борту). Этот инструмент состоит из двух устройств, каждое из которых оснащено радиопередатчиком и самомодифицирующимся высокочастотным картридером.

Одно из устройств ведущее, другое ведомое. «Ведущая» часть позволяет легко и быстро считывать практически все смарт-карты типа ISO 14443A (независимо от того, каково назначение этой карты: банковская, удостоверение, паспорт, карта доступа или какая-либо другая; какой протокол безопасности на смарт-карте используется — тоже не имеет значения, главное, чтобы он соответствовал стандарту ISO 14443A) и перенаправлять считанные данные к легальному картридеру посредством «ведомого» устройства. Ведущий и ведомый компоненты этого инструмента взаимодействуют через радиопередатчики, находясь на расстоянии до 200 м.

Одна машина, два радиопакета: атака на автомобильные ключи hitag-2

One Car, Two Frames: Attacks on Hitag-2 Remote Keyless Entry Systems Revisited // Proceedings of the 11th USENIX Workshop on Offensive Technologies (WOOT). 2021

Начиная с 2006 года появилось много публикаций, анализирующих безопасность алгоритма Hitag-2 в контексте контроля доступа к автомобилям. Хотя криптография этого алгоритма уже давно сломана, он все еще используется в автомобильной промышленности. Плюс совсем недавно были обнаружены новые уязвимости у RKE-систем (Remote Keyless Entry — удаленный бесключевой доступ к автомобилю), основанных на Hitag-2, которые дают возможность провести атаку по разблокировке автомобиля; для этого требуется захват от четырех до восьми радиопакетов.

Однако в докладе показано, что специфические реализации RKE-систем на базе Hitag-2 применяют изящные контрмеры, благодаря которым данные RKE неуязвимы для описанной атаки. Кроме того, в докладе представлен детальный анализ такой системы (по методу черного ящика) — начиная от физического/аппаратного уровня и заканчивая «непрерывно изменяющимся кодом».

В докладе показано, что создавать открывающие радиофреймы возможно и не находя секретный ключ; вместо этого можно вычислить эквивалентные ключи, которые позволяют получить тот же самый поток ключей Hitag-2, что и при использовании подлинного ключа. При такой атаке упомянутую контрмеру обойти тривиально — одним простым захватом дополнительного радиопакета.

Соиб. анализ. безопасность nfc

Стало известно о критической уязвимости техники с nfc-модулями

Исследователь проблем кибербезопасности из компании IOActive Жозеп Родригес (Josep Rodriquez) предупредил, что устройства для считывания NFC-чипов во многих современных банкоматах и платёжных терминалах уязвимы к атакам, часто — с помощью обычного смартфона.

По словам эксперта, оборудование можно взломать, поднеся смартфон с NFC-модулем к считывателю, заблокировать для дальнейшего использования или даже извлечь информацию об отдельных банковских картах. Родригес уверен, что такие уязвимости также можно использовать как один из элементов «джекпоттинговых» атак, когда машина начинает выдавать наличные злоумышленнику (отмечено, что такие атаки возможны только с использованием в «связке» с другими уязвимостями).

По имеющимся данным, использованные Родригесом уязвимости в NFC-считывателях довольно легко обнаружить и использовать. Для того чтобы использовать дыры в системе безопасности машин достаточно поднести к ним совместимый смартфон на Android, использующий специальное программное обеспечение. На одном из видео Родригес предоставил доказательство, «сломав» банкомат в Мадриде, после чего тот перестал реагировать на настоящие банковские карты.

Исследование выявило пару проблем с NFC-совместимым оборудованием. Во-первых, многие модели считывателей уязвимы к относительно простым атакам. Например, некоторые считыватели не проверяют, как много данных они получают — другими словами, систему можно перегрузить огромным количеством данных для выполнения т. н. атаки «переполнения буфера».

Во-вторых, компании временами очень медленно выпускают патчи для устранения выявленных проблем у сотен тысяч машин, разбросанных по всему миру. Зачастую удалённый доступ к устройству не предусмотрен, и каждую точку необходимо лично посетить для установки ПО — поэтому многие системы не получают регулярных обновлений безопасности. По данным Родригеса, одна из компаний заявила об устранении уязвимости в 2021 году, но эксперт всё ещё смог воспользоваться ей в 2020 году в одном из ресторанов.

В ближайшие недели он намерен поделиться собственным опытом в формате вебинара.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL ENTER.

Meta отложила внедрение сквозного шифрования сообщений в Facebook и Instagram до 2023 года

Сумма покупки

Есть еще один уровень защиты — ограничение максимальной суммы бесконтактной транзакции. Этот предел в настройках терминального оборудования задает банк-эквайер, руководствуясь рекомендациями платежных систем. В России максимальный порог платежа составляет 1000 рублей, в США — $25, в Великобритании — 20 фунтов (скоро будет повышен до 30) и так далее.

Платеж на большую сумму будет отклонен или потребует дополнительного подтверждения (подпись, PIN) в зависимости от настроек банка — эмитента карты. При попытке последовательно снять несколько сумм ниже порога также должна срабатывать система дополнительной защиты.

Но и здесь есть нюансы. Другая команда британских исследователей из Университета Ньюкасла почти год назад сообщила, что обнаружила брешь в защите бесконтактных транзакций платежной системы Visa. Если запросить платеж не в фунтах стерлингов, а в иностранной валюте, то пороговое ограничение не срабатывает.

Представители платежной системы Visa опровергли практическую осуществимость подобной атаки, заявив, что транзакция будет отклонена банковскими системами безопасности.

По словам Тараторина из Райффайзенбанка, терминал контролирует максимальный размер платежа независимо от того, в какой валюте он осуществляется.

Угроза для транспортных nfc-карт

NFC-технология используется не только в банковских карточках, но и в транспортных картах, которыми оплачиваются поездки в метро и наземном транспорте. В отличие от банковских, транспортные карты не имеют шифрования и поэтому любопытные граждане могут заглянуть внутрь электронной прошивки.

Делается это с помощью общедоступных программ. Взлому были уже подвержены карта «Тройка», а также транспортные карты Нижнего Новгорода. Энтузиасты создавали карты с бесконечным оплаченным проездом.

В основном взлом транспортных карт осуществлялся за счет атаки на чип семейства Mifare Classic с устаревшим режимом безопасности SL1. Современные же карты выпускаются уже на базе усовершенствованных чипов и данные уязвимости для них не актуальны.

Ультразвуковая пушка против умных гаджетов

Sonic Gun To Smart Devices: Your Devices Lose Control Under Ultrasound/Sound // Black Hat. 2021

MEMS-сенсоры, такие как акселерометр и гироскоп, — обязательные и незаменимые компоненты современных умных гаджетов. Авторы доклада обнаружили связанную с ними уязвимость: сенсоры умных гаджетов резонируют от акустических волн на некоторых частотах, что приводит к искажению показаний сенсора.

Разработав методологию атаки, исследователи смогли манипулировать данными посредством точной подстройки параметров для акселерометра и гироскопа. Кроме того, докладчик представляет комбинированную атаку, которая использует оба сенсора и поэтому более гибка.

Докладчик подробно описывает влияние найденной уязвимости на самые разнообразные гаджеты с MEMS-сенсорами на борту: VR-девайсы, средства передвижения с автобалансировкой, дроны и другие. При помощи собранной в домашних условиях ультразвуковой системы докладчик атакует популярные VR-девайсы, в том числе смартфоны iPhone 7 и Galaxy S7.

Докладчик показывает, как, воздействуя на эти умные девайсы ультразвуком на резонансных частотах, можно манипулировать «виртуальной реальностью». Например, управлять направлением взгляда без каких-либо движений со стороны пользователя или вызывать землетрясение с различными магнитудами.

Докладчик рассказывает, как атаковал мультикоптер DJI и смог изменить его траекторию.

Таким образом, описываемая ультразвуковая атака способна лишать пользователей контроля над их умными гаджетами. А в случае с VR-системами и средствами передвижения с автобалансировкой эта атака способна привести к серьезным физическим травмам.