Уязвимости в банкоматах Diebold Opteva позволяют украсть деньги из устройств
Специалисты компании IOActive сообщили о двух уязвимостях в банкоматах производства компании Diebold - физической и программной, совместная эксплуатация которых позволяет получить доступ к купюрам в сейфе устройства.
✏Проблемы затрагивают банкоматы серии Opteva на базе платформы AFD (Advanced Function Dispenser - диспенсер с расширенными функциями).
В данных моделях хранилище и операционная система разделены физически и доступ к каждому компоненту требует отдельной авторизации.
✏Исследователям удалось получить физический доступ к внутреннему компьютеру устройства, просунув металлический прут через громкоговоритель на передней панели устройства и подняв пластину, запирающую банкомат.
Они смогли получить доступ к AFD контроллеру, но чтобы вывести деньги, экспертам потребовалось проэксплуатировать вторую уязвимость.
✏Для этой цели они провели реверс-инжиниринг протокола связи и программной оболочки AFD.
AFD не производит проверку внешних подключенных устройств и не обменивается с ними зашифрованными ключами.
В результате исследователям без авторизации удалось получить доступ к AFD и кассетам с банкнотами.
Больше новостей из мира IT читайте по хэш-тегу #security_news
Источник: http://www.securitylab.ru/news/487528.php
#tssolution #dieboldopteva #IOActive #AFD
Специалисты компании IOActive сообщили о двух уязвимостях в банкоматах производства компании Diebold - физической и программной, совместная эксплуатация которых позволяет получить доступ к купюрам в сейфе устройства.
✏Проблемы затрагивают банкоматы серии Opteva на базе платформы AFD (Advanced Function Dispenser - диспенсер с расширенными функциями).
В данных моделях хранилище и операционная система разделены физически и доступ к каждому компоненту требует отдельной авторизации.
✏Исследователям удалось получить физический доступ к внутреннему компьютеру устройства, просунув металлический прут через громкоговоритель на передней панели устройства и подняв пластину, запирающую банкомат.
Они смогли получить доступ к AFD контроллеру, но чтобы вывести деньги, экспертам потребовалось проэксплуатировать вторую уязвимость.
✏Для этой цели они провели реверс-инжиниринг протокола связи и программной оболочки AFD.
AFD не производит проверку внешних подключенных устройств и не обменивается с ними зашифрованными ключами.
В результате исследователям без авторизации удалось получить доступ к AFD и кассетам с банкнотами.
Больше новостей из мира IT читайте по хэш-тегу #security_news
Источник: http://www.securitylab.ru/news/487528.php
#tssolution #dieboldopteva #IOActive #AFD