حذر خبير أمن معلومات في IOActive Josep Rodriquez من أن قارئات NFC المستخدمة في العديد من أجهزة الصراف الآلي الحديثة وأنظمة نقاط البيع تجعلها عرضة للهجمات وفقًا لتقارير Wired.
وأشار تقرير لموقع The verege الأمريكى، أن العيوب تجعلهم عرضة لمجموعة من المشكلات، بما في ذلك تعرضهم للتحطم بواسطة جهاز NFC قريب، أو قفله كجزء من هجوم رانسوم وير، أو حتى اختراقه لاستخراج بيانات بطاقة ائتمان معينة.
كذلك يحذر رودريك من أن الثغرات يمكن أن تستخدم كجزء مما يسمى هجوم "الفوز بالجائزة الكبرى" لخداع آلة لتخرج الأموال، ومع ذلك فإن مثل هذا الهجوم يكون ممكنًا فقط عند إقرانه بمآثر أخطاء إضافية، وتقول Wired إنها لم تكن قادرة على مشاهدة مقطع فيديو لمثل هذا الهجوم بسبب اتفاقية سرية IOActive مع بائع أجهزة الصراف الآلي المتأثر.
ومن خلال الاعتماد على نقاط الضعف في قارئات NFC الخاصة بالآلات، فإن عمليات اختراق Rodriquez سهلة التنفيذ نسبيًا، بينما اعتمدت بعض الهجمات السابقة على استخدام أجهزة مثل المناظير الداخلية الطبية لفحص الأجهزة، يمكن لـ Rodriquez ببساطة توجيه هاتف اندرويد يقوم بتشغيل برنامجه أمام قارئ NFC الخاص بالجهاز لاستغلال أي ثغرات قد تكون به.
في أحد مقاطع الفيديو التي تمت مشاركتها مع Wired فى وقت سابق، تسبب Rodriquez في قيام جهاز الصراف الآلي في مدريد بعرض رسالة خطأ ، ببساطة عن طريق التلويح بهاتفه الذكي فوق قارئ NFC الخاص به، ثم أصبحت الآلة غير مستجيبة لبطاقات الائتمان الحقيقية التي عُرضت على القارئ.
ويسلط البحث الضوء على مشكلتين كبيرتين في الأنظمة، الأول هو أن العديد من أجهزة قراءة NFC عرضة لهجمات بسيطة نسبيًا، وفقًا لتقارير Wired. على سبيل المثال، في بعض الحالات لا يتحقق القراء من مقدار البيانات التي يتلقونها، مما يعني أن رودريكيز كان قادرًا على إرباك النظام بكمية كبيرة جدًا من البيانات وإفساد ذاكرته كجزء من هجوم "تجاوز سعة المخزن المؤقت".
المشكلة الثانية هي أنه حتى بمجرد تحديد مشكلة ما، يمكن أن تكون الشركات بطيئة في تطبيق التصحيح على مئات الآلاف من الأجهزة المستخدمة في جميع أنحاء العالم. غالبًا ما يحتاج الجهاز إلى زيارة ماديًا لتطبيق التحديث، ولا يتلقى الكثير منهم تصحيحات أمان منتظمة، قالت إحدى الشركات إن المشكلة التي أبرزها رودريكيز قد تم تصحيحها في عام 2018، على سبيل المثال لكن الباحث يقول إنه تمكن من التحقق من أن الهجوم نجح في مطعم في عام 2020.
يخطط رودريجيز لتقديم النتائج التي توصل إليها كجزء من ندوة عبر الإنترنت في الأسابيع المقبلة لتسليط الضوء على ما يقول إنها تدابير الأمان الضعيفة للأجهزة المدمجة.
تم أضافة تعليقك سوف يظهر بعد المراجعة