Эксплуатация уязвимостей позволяет перехватить контроль над устройствами, обойти механизмы защиты, и похитить мастер-ключи.
Исследователи из компании Red Balloon Security обнаружили уязвимости в устройствах крупнейшего поставщика банкоматов в Nautilus Hyosung America. Получив доступ к сети банкомата, специалисты смогли удаленно перехватить контроль над устройством, обойти механизмы защиты, а также добыть мастер-ключи от банкоматов, сообщает Bloomberg.
По словам исследователей и представителей компании Nautilus Hyosung, пока нет доказательств эксплуатации уязвимости. Проблемы затрагивают только банкоматы Nautilus, использующиеся в розничной сфере, а не те, что применяются в финансовой. По оценкам Red Balloon на данный момент, около 80 тыс. устройств являются уязвимыми.
Одна из уязвимостей в банкомате связана с «системой удаленного управления» устройствами, и ее эксплуатация позволяет преступнику украсть данные любой платежной карты, введенной в банкомат во время транзакции. Теоретически, злоумышленник может незаметно похитить данные карт всех пользователей банкомата.
Вторая уязвимость содержится в программном обеспечении, на базе которого работают периферийные устройства банкомата, такие как диспенсеры банкнот, кард-ридер или PIN-клавиатура. Злоумышленник может легко получить доступ к программному обеспечению, ввести вредоносные команды и извлечь все денежные средства.
Исследователи предупредили компанию о данных проблемах летом нынешнего года, и она сразу выпустила исправление.
Исследователи также обнаружили уязвимость в разработанном Nautilus мобильном приложении, используемом владельцами банкоматов и техническими специалистами. Эксплуатация уязвимости позволяет получить доступ к информации об учетных записях пользователей, банкоматах, включая остатки денежных средств, местоположении, версии программного обеспечения и запросах на обслуживание. Уязвимость в приложении также была исправлена.