En 2010, feu Barnaby Jack, un chercheur en sécurité de renommée mondiale, a piraté un guichet automatique en direct sur scène lors de la conférence Black Hat en incitant le distributeur de billets à cracher un flot de billets d’un dollar. La technique a été nommée à juste titre «jackpotting».

Dix ans après la démonstration à succès de Jack, les chercheurs en sécurité présentent deux nouvelles vulnérabilités dans Nautilus Les guichets automatiques, quoique virtuellement, grâce à la pandémie de coronavirus.

Les chercheurs en sécurité Brenda So et Trey Keown de la société de sécurité Red Balloon basée à New York disent que leur paire de vulnérabilités leur a permis de tromper un guichet automatique de vente au détail autonome populaire, que l’on trouve généralement dans les magasins plutôt que dans les banques, pour qu’il distribue de l’argent à leur commande.

Un pirate informatique devrait être sur le même réseau que le guichet automatique, ce qui rend plus difficile le lancement d’une attaque de jackpotting réussie. Mais leurs résultats mettent en évidence que les guichets automatiques ont souvent des vulnérabilités qui restent inactives pendant des années – dans certains cas depuis leur construction initiale.

Barnaby Jack, le dernier chercheur en sécurité, a été crédité des premières attaques de «jackpotting» ATM. Aujourd’hui, 10 ans plus tard, deux chercheurs en sécurité ont découvert deux nouvelles attaques de crachement de cash ATM. Crédit: YouTube

Ainsi et Keown ont déclaré que leurs nouvelles vulnérabilités ciblent le logiciel sous-jacent du Nautilus ATM, une version de Windows vieille de dix ans qui n’est plus prise en charge par Microsoft. Pour commencer, la paire a acheté un guichet automatique pour examiner. Mais avec peu de documentation, le duo a dû effectuer une rétro-ingénierie du logiciel à l’intérieur pour comprendre comment cela fonctionnait.

La première vulnérabilité a été trouvée dans une couche logicielle connue sous le nom de XFS – ou Extensions for Financial Services – que le distributeur utilise pour communiquer avec ses différents composants matériels, tels que le lecteur de carte et l’unité de distribution de billets. Le bogue ne concernait pas XFS lui-même, mais plutôt la manière dont le fabricant de GAB implémentait la couche logicielle dans ses GAB. Les chercheurs ont découvert que l’envoi d’une demande malveillante spécialement conçue sur le réseau pouvait effectivement déclencher le distributeur de billets du guichet automatique et …

Voir la source de cette publication