Un chercheur en sécurité dit avoir trouvé un moyen de retirer de l’argent d’un distributeur avec une appli Android malveillante, en s’appuyant notamment sur des failles trouvées dans les lecteurs NFC.
Plus on multiplie les interfaces d’accès d’un système, plus on augmente aussi les vecteurs d’attaque potentiels. Cette évidence semble avoir été confirmée de manière inattendue par le chercheur en sécurité Josep Rodriguez d’IOActive dans le domaine des distributeurs automatiques de billets de banque (DAB). Certains d’entre eux disposent désormais d’un lecteur NFC pour accéder aux données d’un compte et retirer de l’argent en utilisant un smartphone.
Interrogé par Wired, l’expert a développé une application Android qui lui permet de pirater un DAB au travers de cette interface NFC et de retirer de l’argent. Il a pu confirmer ce hack sur au moins une famille de systèmes du marché. En raison d’un accord de confidentialité, il ne souhaite pas donner le nom de cette marque, mais précise que son attaque s’appuie sur des failles trouvées dans le lecteur NFC, ainsi que dans le logiciel du DAB. « On peut vider le distributeur seulement en tapotant sur son smartphone », souligne-t-il.
Évidemment, il ne détaille pas non plus les aspects techniques de son hack. Il révèle néanmoins qu’une partie du problème réside dans le fait que les lecteurs NFC ne vérifient pas la taille des messages reçus. Il est donc assez simple de provoquer un dépassement de mémoire tampon. Cela n’est pas suffisant pour pirater le système, mais c’est un bon début.
Josep Rodriguez a également testé toute une série d’équipements de points de vente NFC et trouvé, là encore, toute une série de failles permettant de pirater ces équipements. « Vous pouvez modifier le firmware et changer le prix à un dollar, par exemple, même lorsque l’écran indique que vous payez 50 dollars. Vous pouvez rendre l’appareil inutilisable ou installer un ransomware. Il y a beaucoup de possibilités ici », explique-t-il auprès de Wired. Le chercheur compte détailler ces trouvailles dans ce cadre d’un webinar qu’il compte organiser dans les prochaines semaines.
source : 01net