Un hacker ha violato Bancomat e POS usando lo smarpthone in modalità contactless

La possibilità di usare carte di credito e di debito in modalità contactless ha reso decisamente più comodo effettuare pagamenti senza contatti, ma la tecnologia di trasmissione dei dati che passano dalle carte ai POS e ai Bancomat non è priva di punti deboli. Alcuni dei più gravi li ha scovati e radunati il ricercatore informatico Josep Rodriguez, che ha messo insieme quanto ha scoperto per realizzare attacchi mirati decisamente pericolosi, che utilizzando solo lo smartphone sono arrivati in un caso eccezionale a far piovere soldi da uno dei Bancomat presi di mira.

Le comunicazioni fallaci

I pagamenti contactless si basano su un sistema di comunicazione chiamato NFC e basato su onde radio a bassa intensità: i dispositivi lettori ricevono le informazioni trasmesse in questo modo dalle carte che vengono loro avvicinate e autorizzano alla rete di pagamenti il prelievo della somma richiesta. Rodriguez ha analizzato come avvengono queste comunicazioni e quali dati vengono scambiati ed elaborati dai prodotti che autorizzano i pagamenti, per scovare flussi di informazioni che – se trasmessi in sequenza – potessero mettere in crisi i dispositivi che tentavano di leggerli. Una volta trovate le vulnerabilità che cercava, ha codificato un'app per smartphone addestrata a trasmettere i segnali capaci di farle scattare.

Gli attacchi dallo smartphone

I chip in grado di emettere questi segnali infatti sono presenti anche all'interno di tutti gli smarphone recenti: è questo che rende questi gadget in grado di funzionare come carte di credito in abbinamento a sistemi di pagamento come Google Pay e Apple Pay. È così che il ricercatore informatico è riuscito a trasformare il suo smartphone in un'arma capace di mandare in tilt sia i Bancomat che i POS di numerosi produttori. Attraverso questa tecnica Rodriguez è riuscito a causare semplici malfunzionamenti, ma anche a modificarne il comportamento delle macchine per memorizzare i dati delle carte di credito altrui, cambiare il valore delle transazioni effettuate e bloccare i dispositivi con una richiesta di riscatto. In un attacco più particolare e basato su numerose altre tipologie di vulnerabilità concatenate tra loro, l'uomo è riuscito a forzare un particolare modello di Bancomat a emettere denaro a piacimento.

Aggiornamenti in corso

Alla testata Wired, Rodriguez ha dichiarato che attacchi simili possono riscrivere il codice di funzionamento dei macchinari, ad esempio per "portare il prezzo reale di ogni merce a un dollaro anche quando sullo schermo viene mostrato un importo di 50". Le possibilità di attacchi simili "sono decisamente numerose". Il ricercatore ha avvisato già mesi fa i produttori delle macchine coinvolte: si tratta di Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo più il produttore del dispositivo colpito dall'attacco più grave – il cui nome non è stato reso noto. Tutti si sono messi immediatamente al lavoro per chiudere le falle software che coinvolgevano i loro dispositivi, ma è molto probabile che in giro rimarranno prodotti vulnerabili ancora a lungo: in pochi anni i pagamenti e i prelievi contactless sono diventati ubiqui e non tutti i macchinari possono essere aggiornati rapidamente e facilmente per fare fronte alle scoperte di Rodriguez.