Smartphones com NFC podem ser usados para invadir caixas eletrônicos

Smartphones com NFC podem ser usados para invadir caixas eletrônicos

Por Felipe Gugelmin | Editado por Claudio Yuge | 25 de Junho de 2021 às 16h20
Pixabay

Na tentativa de trazer mais comodidade e segurança para os consumidores, diversos bancos ao redor do mundo permitem o acesso a caixas eletrônicos com o simples toque do cartão de crédito em um leitor. Embora a tecnologia impeça que leitores ilegais roubem os dados de clientes, ela também está suscetível a problemas, conforme alerta o pesquisador Josep Rodriguez, da IOActive.

Segundo Rodriguez, brechas na tecnologia NFC usada por bancos os deixam sujeitos a ataques que podem ser iniciados a partir de um smartphone compatível. Para demonstrar como isso pode acontecer, ele criou um app de Android capaz de imitar as comunicações feitas por cartões de crédito para travar e hackear dispositivos, que permitem a coleta e a transmissão de informações de clientes.

A técnica também permite modificar o valor de transações realizadas e realizar a instalação de ramsonwares, que bloqueiam o leitor e exibem uma mensagem de alerta. O pesquisador explicou à Wired que, em um caso específico, também consegue fazer com que o caixa eletrônico comece a emitir notas, mas isso só funciona se outras vulnerabilidades são exploradas em conjunto — o pesquisador não forneceu mais detalhes de suas descobertas devido a um acordo que possui com fabricantes de caixas eletrônicos.

Quer ficar por dentro das melhores notícias de tecnologia do dia? Acesse e se inscreva no nosso novo canal no youtube, o Canaltech News. Todos os dias um resumo das principais notícias do mundo tech para você!

“Você pode modificar o firmware e mudar o preço para um dólar, por exemplo, mesmo quando a tela mostra que você está pagando 50 dólares. Você pode tornar o dispositivo inútil, ou instalar uma espécie de ransomware”, explicou Rodriguez. O pesquisador afirma que, aliado a um payload especial, o método pode ser usado para fazer com que um caixa eletrônico comece a despejar para fora todo o dinheiro armazenado nele.

Webinar vai tratar das falhas descobertas

Ele explica que alertou os responsáveis pelas máquinas afetadas entre um ano a sete meses atrás, mas duvida que isso tenha sido o suficiente para solucionar o problema. Além da maioria dos caixas raramente receber atualizações de segurança, o fato de que a correção teria que ser aplicada manualmente em cada um deles torna a tarefa dispendiosa e demorada.

Consultadas pela Wired, a maioria das companhias afetadas não comentou sobre a descoberta: as exceções foram a Ingenico, que prometeu liberar uma correção, e a Verifone, que afirma que a brecha usada por Rodriguez já foi corrigida em 2018. O pesquisador pretende compartilhar suas descobertas em um webinar marcado para as próximas semanas, com a intenção de informar consumidores e pressionar empresas a reforçar suas soluções de segurança.

Para o pesquisador, é chocante que vulnerabilidades conhecidas e simples ainda estejam presentes em tantos dispositivos, especialmente aqueles que lidam com transações financeiras. “Essas vulnerabilidades estão presentes em firmwares há anos, e estamos usando esses dispositivos para lidar com nossos cartões de crédito e nosso dinheiro. Eles precisam estar seguros”, finalizou.

Fonte: Wired

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.