Josep Rodriquez, pesquisador de segurança da IOActive, descobriu que há uma série de bugs que permitem a um hacker invadir o sistema de máquinas que funcionem com NFC e, com isso, conseguir que cartões, sejam eles de crédito ou bancários, sejam clonados. A revelação foi feita após um ano de trabalho em cima dos chips utilizados em caixas eletrônicos e máquinas de pagamento espalhadas em milhares de estabelecimentos ao redor do globo.

Em entrevista para o site Wired, Rodriquez revelou ter desenvolvido um aplicativo Android que dá ao smartphone o poder de “imitar” as comunicações via rádio, explorar as falhas no firmware das máquinas com NFC e, com isso, travar os sistemas, coletar dados de cartões e, com isso, produzir novos, clonados. Segundo o pesquisador, ele até conseguiu reproduzir o sistema chamado “jackpotting”, que faria um caixa eletrônico, literalmente, cuspir dinheiro.

Rodriquez não compartilhou, no entanto, qual o nome da empresa que conseguiu hackear, por questões de segurança. Ele informou, no entanto, que já entrou em contato com outras empresas, como ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS e Nexgo sobre os bugs encontrados.

“Você pode modificar o firmware e mudar o preço para um dólar, por exemplo, mesmo quando a tela mostrar que você está pagando 50 dólares. Você pode inutilizar o aparelho ou instalar uma espécie de ransomware. São muitas as possibilidades aqui “, explicou Rodriguez, sobre os ataques a pontos de venda que descobriu. “Se você encadear o ataque e também enviar uma carga especial para o computador de um caixa eletrônico, poderá enganar o caixa eletrônico, e sacar dinheiro apenas tocando no telefone”, completou.

Empresas se posicionam

Algumas das empresas citadas pelo pesquisador e que, segundo ele, poderiam permitir que cartões de clientes fossem clonados casos suas máquinas de NFC fossem hackeadas, responderam às acusações reveladas pelo Wired. ID Tech, BBPOS e Nexgo preferiram se calar, enquanto a ATM Industry Association se recusou a comentar.

A Ingenico, por sua vez, respondeu que, devido às suas mitigações de segurança, a técnica de buffer overflow de Rodriguez poderia apenas travar seus dispositivos, mas não obter a execução de código neles. De qualquer forma, para evitar problemas aos clientes, afirmou ter “emitido uma correção no sistema”.

A Verifone também se posicionou. A empresa disse que encontrou e corrigiu as vulnerabilidades do ponto de venda que Rodriguez destacou. A informação, no entanto, foi contestada pelo pesquisador, que afirmou ter testado novamente sua técnica em um dispositivo da marca após a suposta correção, e descoberto que ele permanecia vulnerável.

Via The Verge

Imagem: Karolina Grabowska/Pexels/CC