Nhược điểm trong công nghệ đầu đọc thẻ NFC cho phép một chuyên gia an ninh tấn công máy rút tiền bằng cách vẫy điện thoại di động | MYTOUR

Buzz

Ngày cập nhật gần nhất: 15/3/2026

Nội dung bài viết

Nhược điểm NFC Cho Phép Nghiên Cứu Viên Hack Máy Rút Tiền Bằng Cách Vẫy Điện Thoại

Trong nhiều năm, các nhà nghiên cứu an ninh và tội phạm mạng đã hack máy rút tiền bằng cách sử dụng mọi cơ hội có thể tiếp cận bên trong, từ việc mở một bảng trước và gắn một ổ đĩa USB vào cổng USB đến việc khoan một lỗ để tiếp xúc với dây nối bên trong. Bây giờ một nhà nghiên cứu đã tìm thấy một loạt lỗ hổng cho phép anh ta hack máy rút tiền—cũng như nhiều loại thiết bị terminal bán hàng—một cách mới: chỉ cần vẫy điện thoại qua một đầu đọc thẻ tín dụng không tiếp xúc.

Josep Rodriguez, một nhà nghiên cứu và tư vấn tại công ty an ninh IOActive, đã dành một năm qua để khám phá và báo cáo những lỗ hổng trong các vi chip đầu đọc truyền thông ngắn phạm vi được sử dụng trong hàng triệu máy rút tiền và hệ thống terminal bán hàng trên toàn thế giới. Hệ thống NFC là thứ cho phép bạn vẫy một chiếc thẻ tín dụng qua một đầu đọc—thay vì vuốt hoặc chèn nó—để thực hiện thanh toán hoặc rút tiền từ máy rút tiền. Bạn có thể tìm thấy chúng trên hàng loạt quầy cửa hàng bán lẻ và nhà hàng, máy bán hàng tự động, taxi và máy đỗ xe trên khắp thế giới.

Bây giờ Rodriguez đã xây dựng một ứng dụng Android cho phép điện thoại thông minh của anh ta mô phỏng các truyền thông radio của thẻ tín dụng và lợi dụng những lỗ hổng trong firmware của hệ thống NFC. Chỉ cần vẫy điện thoại, anh ta có thể lợi dụng nhiều lỗ hổng để làm đứt kết nối thiết bị bán hàng, hack chúng để thu thập và truyền dữ liệu thẻ tín dụng, thay đổi giá trị giao dịch mà không thấy và thậm chí khóa thiết bị trong khi hiển thị một thông điệp ransomware. Rodriguez cho biết anh ta còn có thể buộc ít nhất một thương hiệu máy rút tiền phải phát tiền mặt—mặc dù hack "jackpotting" chỉ hoạt động khi kết hợp với những lỗ hổng khác anh ta nói anh ta đã tìm thấy trong phần mềm của máy rút tiền. Anh ta từ chối chỉ định hoặc tiết lộ những lỗ hổng đó công khai do các hợp đồng không tiết lộ với các nhà cung cấp máy rút tiền.

"Bạn có thể sửa đổi firmware và thay đổi giá thành một đô la, ví dụ, ngay cả khi màn hình hiển thị bạn đang thanh toán 50 đô la. Bạn có thể làm cho thiết bị trở nên vô dụng, hoặc cài đặt một loại ransomware. Có rất nhiều khả năng ở đây," nói Rodriguez về các cuộc tấn công trên điểm bán hàng mà anh ta phát hiện. "Nếu bạn kết hợp cuộc tấn công và cũng gửi một gói tin đặc biệt đến máy tính của máy rút tiền, bạn có thể jackpot máy rút tiền—như rút tiền mặt, chỉ cần chạm điện thoại của bạn."

Rodriguez cho biết anh ta đã thông báo cho các nhà cung cấp bị ảnh hưởng—bao gồm ID Tech, Ingenico, Verifone, Crane Payment Innovations, BBPOS, Nexgo và nhà cung cấp máy rút tiền không tên—về những phát hiện của mình từ 7 tháng đến 1 năm trước. Tuy nhiên, anh ta cảnh báo rằng số lượng lớn các hệ thống bị ảnh hưởng và thực tế rất nhiều điểm bán hàng và máy rút tiền không thường xuyên nhận được cập nhật phần mềm—và trong nhiều trường hợp yêu cầu truy cập vật lý để cập nhật—nghĩa là nhiều thiết bị đó có thể vẫn còn yếu đuối. "Việc vá lỗi cho hàng trăm nghìn máy rút tiền vật lý, đó là điều đòi hỏi rất nhiều thời gian," Rodriguez nói.

Như một minh họa về những lỗ hổng lâu dài đó, Rodriguez đã chia sẻ một video với MYTOUR trong đó anh ta vẫy một chiếc điện thoại thông minh qua đầu đọc NFC của một máy rút tiền trên đường ở Madrid, nơi anh ta sống, và làm cho máy hiển thị một thông báo lỗi. Đầu đọc NFC dường như bị đơ, và không còn đọc được thẻ tín dụng của anh ta khi anh ta tiếp xúc với máy sau đó. (Rodriguez yêu cầu MYTOUR không công bố video vì sợ trách nhiệm pháp lý. Anh ta cũng không cung cấp video minh họa về một cuộc tấn công jackpotting vì, anh ta nói, anh ta chỉ có thể thử nghiệm nó hợp pháp trên các máy thu được trong quá trình tư vấn an ninh của IOActive cho nhà cung cấp máy rút tiền bị ảnh hưởng, với người mà IOActive đã ký một thỏa thuận không tiết lộ.)

Những phát hiện này là "nghiên cứu xuất sắc về sự yếu đuối của phần mềm chạy trên thiết bị nhúng," Karsten Nohl, người sáng lập công ty an ninh SRLabs và một hacker firmware nổi tiếng, nhận xét về công việc của Rodriguez. Nhưng Nohl chỉ ra một số điểm nhược điểm giảm tính thực tế của nó đối với tội phạm thực tế. Một đầu đọc NFC bị hack chỉ có thể đánh cắp dữ liệu thẻ tín dụng mag-stripe, không phải là PIN của nạn nhân hoặc dữ liệu từ chip EMV. Và thực tế là mẹo rút tiền mặt từ máy rút tiền sẽ đòi hỏi một lỗ hổng bổ sung, khác biệt trong mã nguồn của máy rút tiền mục tiêu không phải là một lời khuyên nhỏ, Nohl nói.

Tuy nhiên, các nhà nghiên cứu an ninh như hacker IOActive đã qua đời Barnaby Jack và đội ngũ tại Red Balloon Security đã có khả năng khám phá những lỗ hổng trong máy rút tiền hàng năm, thậm chí đã chỉ ra rằng hacker có thể kích hoạt máy rút tiền từ xa. Giám đốc điều hành và nhà khoa học trưởng của Red Balloon, Ang Cui, nói rằng anh ấy ấn tượng với những phát hiện của Rodriguez và hầu như không nghi ngờ rằng hack đầu đọc NFC có thể dẫn đến việc rút tiền mặt từ nhiều máy rút tiền hiện đại, mặc dù IOActive giữ lại một số chi tiết về cuộc tấn công. "Tôi nghĩ rằng đó là khả năng cao rằng một khi bạn có thể thực thi mã trên bất kỳ thiết bị nào trong số này, bạn nên có thể truy cập trực tiếp vào bộ điều khiển chính, vì thứ đó đầy lỗ hổng mà đã không được vá suốt hơn một thập kỷ," Cui nói. "Từ đó," ông thêm, "bạn hoàn toàn có thể kiểm soát bộ phát tiền mặt" giữ và phát tiền mặt cho người dùng.

Rodriguez, người đã dành nhiều năm để kiểm thử an ninh của máy rút tiền như một tư vấn, nói rằng anh bắt đầu khám phá một năm trước xem đầu đọc thẻ không tiếp xúc của máy rút tiền—thường được bán bởi công ty công nghệ thanh toán ID Tech—có thể phục vụ như một lối vào để hack chúng. Anh ấy bắt đầu mua đầu đọc NFC và thiết bị bán hàng từ eBay, và sớm phát hiện ra rằng nhiều trong số chúng gặp cùng một lỗ hổng bảo mật: Chúng không xác minh kích thước gói dữ liệu được gửi qua NFC từ thẻ tín dụng đến đầu đọc, được biết đến là một đơn vị dữ liệu giao thức ứng dụng hoặc APDU.

Bằng cách sử dụng ứng dụng tùy chỉnh để gửi một APDU được chế tạo cẩn thận từ điện thoại Android có khả năng NFC của mình có kích thước lớn hơn hàng trăm lần so với đầu đọc mong đợi, Rodriguez có thể kích hoạt một "tràn bộ nhớ đệm," một lỗ hổng phần mềm kiểu cũ cho phép hacker làm hỏng bộ nhớ của thiết bị mục tiêu và chạy mã của họ.

Khi MYTOUR liên lạc với các công ty bị ảnh hưởng, ID Tech, BBPOS và Nexgo không trả lời yêu cầu để lại ý kiến, và Hiệp hội Công nghiệp Máy rút tiền từ chối bình luận. Ingenico trả lời trong một tuyên bố rằng do các biện pháp giảm thiểu rủi ro an ninh của mình, phương pháp tràn bộ nhớ của Rodriguez chỉ có thể làm đổ máy của nó, không thể thực hiện mã trên chúng, nhưng rằng, "xem xét đến sự bất tiện và ảnh hưởng đối với khách hàng của chúng tôi," họ đã phát hành một bản vá. (Rodriguez phản đối rằng anh ta nghi ngờ rằng các biện pháp giảm thiểu rủi ro của Ingenico thực sự có thể ngăn chặn thực hiện mã, nhưng anh ta chưa thực sự tạo ra một bằng chứng thực tế để chứng minh điều này.)

Verifone, từ phía họ, cho biết họ đã tìm ra và sửa các lỗ hổng của điểm bán hàng mà Rodriguez đã nhấn mạnh vào năm 2018, lâu trước khi anh ta báo cáo về chúng. Nhưng Rodriguez lập luận rằng điều này chỉ chứng minh sự thiếu chất lượng của việc vá lỗ hổng liên tục trong các thiết bị của công ty; anh ấy nói rằng anh ta đã thử nghiệm kỹ thuật NFC của mình trên một thiết bị Verifone trong một nhà hàng vào năm ngoái và phát hiện ra rằng nó vẫn còn là một mục tiêu dễ bị tổn thương.

Sau khi giữ lại nhiều phát hiện của mình trong một năm đầy đủ, Rodriguez dự định chia sẻ chi tiết kỹ thuật về những lỗ hổng trong một buổi hội thảo trực tuyến trong vài tuần tới, một phần để thúc đẩy khách hàng của các nhà cung cấp bị ảnh hưởng triển khai các bản vá mà các công ty đã cung cấp. Nhưng anh ta cũng muốn chú ý đến tình trạng kém cỏi của an ninh thiết bị nhúng nói chung. Anh ấy bàng hoàng khi phát hiện ra rằng những lỗ hổng đơn giản như tràn bộ nhớ đã tồn tại trong nhiều thiết bị thường sử dụng hàng ngày—những thiết bị xử lý tiền mặt và thông tin tài chính nhạy cảm, không kém.

"Những lỗ hổng này đã tồn tại trong firmware suốt nhiều năm, và chúng ta đang sử dụng những thiết bị này hàng ngày để xử lý thẻ tín dụng, tiền của chúng ta," anh ấy nói. "Chúng cần được bảo mật."

Các câu hỏi thường gặp

Các lỗ hổng nào đã được phát hiện trong hệ thống NFC của máy rút tiền?

Josep Rodriguez đã phát hiện lỗ hổng trong firmware của hệ thống NFC, cho phép hacker lợi dụng để thu thập dữ liệu thẻ tín dụng và thậm chí thay đổi giá trị giao dịch mà không bị phát hiện.

Làm thế nào hacker có thể hack máy rút tiền chỉ bằng điện thoại thông minh?

Hacker có thể sử dụng ứng dụng Android để mô phỏng truyền thông radio của thẻ tín dụng, chỉ cần vẫy điện thoại qua đầu đọc NFC và thực hiện các cuộc tấn công mà không cần tiếp xúc vật lý.

Rodriguez đã cảnh báo các nhà cung cấp nào về lỗ hổng mà ông phát hiện?

Rodriguez đã thông báo cho nhiều nhà cung cấp, bao gồm ID Tech, Ingenico, và Verifone về các lỗ hổng, nhưng cảnh báo rằng nhiều thiết bị vẫn không được cập nhật và dễ bị tấn công.

Các cuộc tấn công từ xa có thể dẫn đến hậu quả gì cho máy rút tiền?

Các cuộc tấn công này có thể dẫn đến việc hacker rút tiền mặt từ máy rút tiền, khóa thiết bị, hoặc thực hiện ransomware mà không ai nhận ra cho đến khi quá muộn.

Những biện pháp nào được thực hiện để khắc phục các lỗ hổng an ninh này?

Một số nhà cung cấp đã phát hành bản vá để khắc phục lỗ hổng, nhưng việc cập nhật hàng trăm nghìn máy rút tiền vật lý vẫn gặp nhiều khó khăn và đòi hỏi thời gian.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]