Преступники могут взломать RFID-терминал с помощью дешевого аппаратного оборудования с Bluetooth

image

Теги: взлом, терминал, хищение данных

Устройство устанавливается на любой терминал сбора данных и похищает чувствительную информацию.

На следующей неделе в Лас-Вегасе, США, в рамках конференции по информационной безопасности Black Hat эксперты  продемонстрируют  разработанный ими инструмент, позволяющий с легкостью похищать личные данные пользователей. Устройство, которое может быть установлено на любой RFID-терминал, способно перехватывать ключевые данные пользовательских магнитных карт и передавать их с помощью Bluetooth на любое мобильное устройство. Инструмент позволяет злоумышленникам легко обойти все меры безопасности.

ИБ-специалисты Эрик Эвенчик (Eric Evenchick), архитектор встроенных систем в Faraday Future, и Марк Баседжо (Mark Baseggio), ведущий консультант в FishNet Security, расскажут на конференции о том, что созданный ими инструмент эксплуатирует уязвимости в простом интерфейсе Wiegand, предназначенном для передачи результата идентификации со считывателя системы контроля и управления доступом на контроллер. В настоящее время многие системы управления доступом основаны именно на Wiegand, несмотря на то, что он разработан еще очень и очень давно, отмечает Эвенчик.

«Мы всего лишь взяли дешевое аппаратное оборудование с Bluetooth, прикрепили его к проводам считывателя и получили полный контроль над системой управления доступом. Каждый кто будет использовать считыватель, не заметит ничего подозрительного, так как он будет работать в обычном режиме», - рассказывают исследователи.

Специалистов поразило, насколько легко злоумышленники могут получить доступ к чувствительной информации и в дальнейшем использовать ее для взлома или для других противоправных действий. Эксперты настоятельно рекомендуют всем производителям считывателей системы контроля и управления доступом усилить меры безопасности данных устройств.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.