Уязвимости в банкоматах Nautilus позволяют похитить наличные и данные карт

Уязвимости в банкоматах Nautilus позволяют похитить наличные и данные карт

Эксплуатация уязвимостей позволяет перехватить контроль над устройствами, обойти механизмы защиты, и похитить мастер-ключи.

image

Исследователи из компании Red Balloon Security обнаружили уязвимости в устройствах крупнейшего поставщика банкоматов в Nautilus Hyosung America. Получив доступ к сети банкомата, специалисты смогли удаленно перехватить контроль над устройством, обойти механизмы защиты, а также добыть мастер-ключи от банкоматов, сообщает Bloomberg.

По словам исследователей и представителей компании Nautilus Hyosung, пока нет доказательств эксплуатации уязвимости. Проблемы затрагивают только банкоматы Nautilus, использующиеся в розничной сфере, а не те, что применяются в финансовой. По оценкам Red Balloon на данный момент, около 80 тыс. устройств являются уязвимыми.

Одна из уязвимостей в банкомате связана с «системой удаленного управления» устройствами, и ее эксплуатация позволяет преступнику украсть данные любой платежной карты, введенной в банкомат во время транзакции. Теоретически, злоумышленник может незаметно похитить данные карт всех пользователей банкомата.

Вторая уязвимость содержится в программном обеспечении, на базе которого работают периферийные устройства банкомата, такие как диспенсеры банкнот, кард-ридер или PIN-клавиатура. Злоумышленник может легко получить доступ к программному обеспечению, ввести вредоносные команды и извлечь все денежные средства.

Исследователи предупредили компанию о данных проблемах летом нынешнего года, и она сразу выпустила исправление.

Исследователи также обнаружили уязвимость в разработанном Nautilus мобильном приложении, используемом владельцами банкоматов и техническими специалистами. Эксплуатация уязвимости позволяет получить доступ к информации об учетных записях пользователей, банкоматах, включая остатки денежных средств, местоположении, версии программного обеспечения и запросах на обслуживание. Уязвимость в приложении также была исправлена.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Комментарии для сайта Cackle