Joseph Rodriguez, un consulente di sicurezza informatica di IOActive, ha scoperto una grave falla nel sistema NFC degli sportelli bancari (ATM) e dei POS. Acquistando un lettore NFC e un POS su eBay, Rodriguez ha scoperto che molti di questi sistemi sono affetti da un bug che permette ad un malintenzionato di eseguire del codice arbitrario anche sugli sportelli bancari automatici – comunemente detti bancomat.

Basta un’app Android e uno smartphone con NFC

Infatti, utilizzando un’applicazione Android proprietaria e uno smartphone con modulo NFC, Rodriguez ha scoperto che può “rendere questi dispositivi inutilizzabili installando una sorta di ransomware. Se attacchi un computer ATM, potresti anche prelevare denaro con un semplice tap del tuo smartphone.”

Come funziona il bug scoperto e sfruttato dal ricercatore di sicurezza? Sfruttando un’applicazione Android realizzata da sé stesso, Rodriguez ha scoperto di essere in grado di eseguire del codice esterno (arbitrario) utilizzando una tipologia di attacco definita come buffer overflow. In sostanza, inviando pacchetti di dati centinaia di volte più grandi rispetto quelli normalmente gestibili dalla macchina bersaglio, è possibile mandare in crash la memoria del dispositivo ed utilizzarla per eseguire del codice.

È quasi scontato sottolineare quanto grave sia questa falla, soprattutto considerando che i POS sono ormai il sistema di pagamento preferito nei negozi, ristoranti, centri commerciali e molto altro. A distanza di un anno da quando Rodriguez ha informato i maggiori produttori di POS, sembra che solo una piccola percentuale di essi abbia ricevuto le patch necessarie per chiudere questa falla. La lentezza di questa operazione, come egli stesso sottolinea, fa luce sulla scarsissima – o quasi assente – assistenza software che i POS ricevono dalla casa madre.

A tal proposito il ricercatore starebbe valutando di condividere i dettagli tecnici alla base del bug al fine di spronare le aziende responsabili a fare di più e più in fretta.