Publicidade

Smartphones com NFC podem ser usados para invadir caixas eletrônicos

Por| Editado por Claudio Yuge | 25 de Junho de 2021 às 16h20

Link copiado!

Pixabay
Pixabay

Na tentativa de trazer mais comodidade e segurança para os consumidores, diversos bancos ao redor do mundo permitem o acesso a caixas eletrônicos com o simples toque do cartão de crédito em um leitor. Embora a tecnologia impeça que leitores ilegais roubem os dados de clientes, ela também está suscetível a problemas, conforme alerta o pesquisador Josep Rodriguez, da IOActive.

Segundo Rodriguez, brechas na tecnologia NFC usada por bancos os deixam sujeitos a ataques que podem ser iniciados a partir de um smartphone compatível. Para demonstrar como isso pode acontecer, ele criou um app de Android capaz de imitar as comunicações feitas por cartões de crédito para travar e hackear dispositivos, que permitem a coleta e a transmissão de informações de clientes.

A técnica também permite modificar o valor de transações realizadas e realizar a instalação de ramsonwares, que bloqueiam o leitor e exibem uma mensagem de alerta. O pesquisador explicou à Wired que, em um caso específico, também consegue fazer com que o caixa eletrônico comece a emitir notas, mas isso só funciona se outras vulnerabilidades são exploradas em conjunto — o pesquisador não forneceu mais detalhes de suas descobertas devido a um acordo que possui com fabricantes de caixas eletrônicos.

Continua após a publicidade

“Você pode modificar o firmware e mudar o preço para um dólar, por exemplo, mesmo quando a tela mostra que você está pagando 50 dólares. Você pode tornar o dispositivo inútil, ou instalar uma espécie de ransomware”, explicou Rodriguez. O pesquisador afirma que, aliado a um payload especial, o método pode ser usado para fazer com que um caixa eletrônico comece a despejar para fora todo o dinheiro armazenado nele.

Webinar vai tratar das falhas descobertas

Ele explica que alertou os responsáveis pelas máquinas afetadas entre um ano a sete meses atrás, mas duvida que isso tenha sido o suficiente para solucionar o problema. Além da maioria dos caixas raramente receber atualizações de segurança, o fato de que a correção teria que ser aplicada manualmente em cada um deles torna a tarefa dispendiosa e demorada.

Consultadas pela Wired, a maioria das companhias afetadas não comentou sobre a descoberta: as exceções foram a Ingenico, que prometeu liberar uma correção, e a Verifone, que afirma que a brecha usada por Rodriguez já foi corrigida em 2018. O pesquisador pretende compartilhar suas descobertas em um webinar marcado para as próximas semanas, com a intenção de informar consumidores e pressionar empresas a reforçar suas soluções de segurança.

Continua após a publicidade

Para o pesquisador, é chocante que vulnerabilidades conhecidas e simples ainda estejam presentes em tantos dispositivos, especialmente aqueles que lidam com transações financeiras. “Essas vulnerabilidades estão presentes em firmwares há anos, e estamos usando esses dispositivos para lidar com nossos cartões de crédito e nosso dinheiro. Eles precisam estar seguros”, finalizou.

Fonte: Wired