Josep Rodríguez, investigador y consultor de la empresa de seguridad IOActive, ha pasado el último año investigando sobre las vulnerabilidades de los chips NFC que se utilizan en millones de cajeros automáticos y sistemas de puntos de venta de todo el mundo. Puede forzar al menos una marca de cajeros automáticos a dispensar dinero en efectivo. Desde un teléfono y con la aplicación, puede aprovechar una serie de fallos para bloquear los dispositivos de los puntos de venta, “hackearlos” para recoger y transmitir datos de las tarjetas de crédito,
Comentarios
luego probaré a sacar dinero con el brazo donde me pusieron la vacuna, a ver si el chip 5G funciona
#2 Si te pusieron la Pfizer solo lleva chís 5G en las dos dosis. Para tener también el chís NFC te tenías que poner la segunda de Astra Zéneca, la que se demoró por llevar la "actualización".
#3 ostias eso me pasa por early adopter
#3 Pues te vas a tener que aguantar porque McAfee se llevó a la tumba la localización de los depósitos de microchís.
#2 Los astrazenecos podemos incluso colarnos en el metro.
#2 A ver! porque de verdad es que flipo con vosotros!
Con el 5G no se puede pagar, es con el NFC, con el 5G solo puedes pasarte Gb del brazo al movil y del movil al brazo.
#2 te inyectaron crédito también? A mí me echaron 20€.
Es el firmware o driver del cajero el que tiene el problema. Le llega una APDU (Application Protocol Data Unit) vía NFC y no valida el tamaño de la APDU. Esa APDU podría llegarle por otra vía y pasaría lo mismo. No es un fallo de NFC.
O eso es lo que se entiende.
Empezó a comprar lectores NFC y dispositivos de punto de venta en eBay y pronto descubrió que muchos de ellos padecían del mismo fallo de seguridad: no validaba el tamaño del paquete de datos enviado por NFC desde una tarjeta de crédito al lector, conocido como unidad de datos del protocolo de aplicación o APDU.
#11
La pila de protocolo[1] empleada en NFC diría que corrobora lo que digo. El artículo enlaza como fuente al estándar ISO[2] de organización, seguridad y comandos de tarjetas de identificación y tarjetas con circuitos integrados además de al artículo original en Wired[3] que tampoco menciona el formato de mensajes NFC, el NDEF (NFC Data Exchange Format).
El estándar ISO es el que define el formato de APDU y puede ser utilizado sobre cualquier forma de comunicación, no sólo NFC. Si ese componente del firmware fuera empleado con otros protocolos de transmisión, ocurriría lo mismo.
[1] https://en.wikipedia.org/wiki/Near-field_communication#/media/File:NFC_Protocol_Stack.png
[2] https://www.iso.org/standard/36134.html
[3] https://www.wired.com/story/atm-hack-nfc-bugs-point-of-sale/
La noticia está reguleramente contada, pero me da la impresión de que el problema no está en los chips NFC sino en el software de tratamiento de las comunicaciones que hay en algunos cajeros.
#5 Por lo que dice es cosa del firmware.
Buffer overflow y a sacar billetes
#7 Dinero fácil
...
#5 la gran pregunta es, será debido a que usan un conocido paquete en su lenguaje o es una rutina de un software específico?
*edit, el titular debería ser "romper la seguridad de algunos cajeros automáticos y puntos de venta"
Sensacionalismo en el titular a más no poder. No es un problema de la tecnología sino de una implementación concreta. Es como decir que las tarjetas de crédito son inseguras porque el Windows 3.11 sobre el que corre un cajero tiene un fallo de seguridad explotable.
#22
Enhorabuena, acabas de descubrir el concepto “vulnerabilidad “
#24 me refiero a que el titular está escrito de forma que parece que todos los chips NFC están afectados, dando a entender que el problema es de la tecnología, cuando no es así.
#25
Como es obvio, ya hace muchos años que no se usan las tecnologías de manera aislada, son un añadido de unas sobre otras y es imposible cubrirlo todo. El NFC se usa para identificar al usuario, luego tienes una línea de comunicaciones, un sistema operativo, bases de datos …. Todo ello susceptible de fallos y vulnerabilidades.
Aquí ha cantado el NFC pero en realidad es todo cosa de la cadena completa. Pero joder, en plena era del clickbait, pedir un poco de coherencia al titular es una utopía.
Y nadie sabe de donde se puede descargar esta app, no es para mi, es para un amigo.
#15 Si yo también tengo un amigo interesado.
Un saludo a los que defienden el fin del dinero en efectivo.
#13 Precisamente lo que ha descubierto esta persona es que por ahora el problema está en los cajeros, lo que permitiría sacar dinero de ellos sin control alguno... sí, posiblemente tarde o temprano se demuestre alguna otra vulnerabilidad en las tarjetas o móviles (si no recuerdo mal ya se dio una con el tema de los datáfonos y los pagos inferiores a 20€ por contactless)
Lamentable, pero tristemente nada sorprendente .
Esto con las criptomonedas no pasa
¡Dinero fácil!
Esto es grave.
Cada vez mas establecimientos tendrán esta tecnología para hacer pagos y transferencias.
#10 yo diría que ya todos. Solución: aparte de usar cash, es usar una tarjeta (virtual) de prerecargas
Y por eso mi movil no tiene NFC, y si pudiera desactivaba el de la tarjeta.
#27
Yo es que no utilizo NFC con agentes en los que no confío, como por ejemplo un clon de Menéame.
Ya sabes, con indeseables es mejor mantener la distancia.
Prueba el Bluetooth de largo alcance a ver.
#27 para el de la tarjeta yo me compré una tarjeta bloqueadora que llevo en la cartera. Es TAN efectivo que al pagar en un tpv con nfc tengo que alejar la cartera con la otra mano estirando el brazo porque si no el tpv no consigue leer mi tarjeta.