У банкоматов выявили серьезные проблемы с безопасностью
Вчера на конференции Black Hat эксперт по безопасности Барнаби Джек (Barnaby Jack) продемонстрировал взлом банкоматов двух разных производителей. Взлом одного требует открытия лицевой панели и подключения USB-флешки с вредоносной программой, в то время как второй банкомат можно "хакнуть" по сети, сообщает Wired.
Речь идёт о банкоматах производства компаний Triton и Tranax, работающих под управлением Windows CE. По словам Джека, именно Triton оказался тем производителем, который попросил его (точнее, компанию Juniper Networks, в которой Джек тогда работал) отменить демонстрацию взлома своего банкомата на прошлогодней конференции Black Hat.
Эта отсрочка понадобилась специалистам Triton для выпуска "заплатки", которая запрещает установку в операционную систему банкомата неподписанных приложений. Обновление было выпущено ещё в ноябре прошлого года.
Без этого обновления Джек сумел внедрить в систему свою программу, которая позволяет ему получить полный контроль над банкоматом. Похожий троян был замечен в прошлом году в банкоматах Diebold в России и на Украине.
Безусловно, для того чтобы внедрить этот код, необходим ключ от лицевой панели банкомата. Однако оказалось, что имеется универсальный ключ, открывающий все банкоматы Triton, и его можно приобрести в Интернете за 10 долларов.
Представители компании, присутствовавшие на конференции, отметили, что универсальный ключ — это, скорее, прихоть клиентов: проще обслуживать банкоматы с одним ключом, чем со связкой. Тем не менее Triton предлагает и более навороченные замки для своих банкоматов, к которым уже просто так не подступишься. Другое дело, что владельцы банкоматов могут пожалеть на них денег.
Что до банкоматов Tranax, то с ними ситуация существенно хуже. Джек обнаружил уязвимость, позволяющую обойти систему аутентификации в функции удалённого доступа к банкомату. Эксперт продемонстрировал, как с помощью специальной утилиты можно загрузить в банкомат свою программу, которая тихонько висит в памяти, пока не будет активирована при помощи особой последовательности цифр на клавиатуре банкомата либо вставки специальной карты.
Участники Black Hat с интересом наблюдали за тем, как Джек вызвал на экран банкомата меню своей программы и дал команду выдать 50 банкнот одного достоинства. Операция прошла успешно, а на дисплее при этом высветилось издевательское слово "Джекпот!". Кроме того, внедрённая программа собирает данные со всех пластиковых карт, которые вставляются в банкомат.
В Tranax пока никак не отреагировали на находку Джека — правда, не исключено, что у них на это просто не было времени.
По словам Джека, он изучал банкоматы четырёх разных производителей — и во всех четырёх обнаружил те или иные уязвимости, позволяющие получить контроль над этими устройствами. Он не может раскрыть информацию о банкоматах двух оставшихся производителей, поскольку эти исследования проводил ещё во время работы в Juniper Networks, которая обладает всеми правами на них. Сейчас Джек работает в другой фирме, IOActive.
Украина заняла второе место на детском Евровидении-2025 (видео)
В центре Николаева полицейский автомобиль сбил пешехода (видео)
В Николаеве опубликовали список точек выдачи воды, работающих без света, но воды в них все равно нет (видео)
Умер Народный артист Украины, певец и композитор Степан Гига
BMW влетел в троллейбус и снес дерево в Николаеве: образовалась пробка (видео)
«Нам не нужно, чтобы что-то мутить, дополнительный договор», - мэр Николаева Сенкевич
Украина атаковала танкер РФ в Черном море (видео)
Из Николаева отправился первый ночной прямой автобус в аэропорты Варшавы (видео)
Трамп заявил, что Крым с четырех сторон окружен океаном