अनुसन्धानकर्ताद्वारा आफ्नो फोनको एनएफसी र एन्ड्रोइड एपमार्फत एटीएम ह्याक

काठमाडौं ।

धेरै व्यक्तिहरूले उनीहरूको बैंक खातामा राखिएको भन्दा एटीएमबाट बढी पैसा आवोस् भन्ने कल्पना गर्दछन्। केहीले गैर कानूनीरुपमा तर सफलतापूर्वक मेशिनको हार्डवेयरमा भौतिक छेडखानी गरेर एटीएम बिगार्न सबै प्रकारका विधिहरू सफलतापूर्वक अपनाएका हुन्छन्।

नेपालमा पनि कतिपटक एटिएम ह्याक गरेर वा फुटाएर रकम चोरी गरिएको समाचारहरु पढ्दै आएका छौं । तर अब एटिएम ह्याक गर्न मोबाइल एपबाटै सकिने पत्ता लागेको छ ।

हालै एक अनुसन्धानकर्ताले केवल सम्पर्कविहीन कार्ड रिडर अर्थात कन्ट्याक्टलेस कार्ड रिडरमा उसको फोन हल्लाएर एटीएम र अन्य पोइन्ट अफ सेल (पीओएस) मेशीनहरू ह्याक गर्न सफल भएका छन्।

वायर्डका अनुसार आईओएक्टिभका सुरक्षा सल्लाहकार जोसेफ रोड्रिग्जले एटीएम र पीओएस प्रणालीको एनएफसी प्रणालीमा भएको त्रुटिलाई दूरुपयोग गर्न सफल भए जुन शपिङ्ग मल, रेस्टुरेन्ट र खुद्रा स्टोरहरूमा व्यापक रूपमा पाइन्छ।

उनले एनएफसी र एन्ड्रोइड एपको साथ फोन प्रयोग गरेर यी मेशिनहरूको एनएफसी रिडर चिप्सलाई संक्रमित गर्न विभिन्न किसिमका बगहरूद्वारा क्र्याश गर्न, क्रेडिट कार्ड डाटा संकलन गर्न उनीहरूलाई ह्याक गर्ने, अदृश्यरुपमा कारोबारको मूल्य परिवर्तन गर्न, र केहि एटिएमहरुलाई ‘ज्याकपट’ बनाउन अर्थात चाहेअनुसार रकम झिक्नको लागि प्रयोग गरे।

यद्यपि अन्तिम ह्याकमा एटीएमको सफ्टवेयरमा अवस्थित कमजोरीहरूको हेरफेर गर्नुपर्ने आवश्यक परेको थियो।

“तपाईंले फर्मवेयरलाई परिमार्जन गर्न र एक डलरमा मूल्य परिवर्तन गर्न सक्नुहुन्छ, उदाहरणको लागि, स्क्रिनले देखाउँदा पनि तपाईंले ५० डलर तिर्नु भएको छ। तपाईं उपकरणलाई बेकार बनाउन, वा एक प्रकारको र्यान्समवेयर स्थापना गर्न सक्नुहुन्छ। यहाँ धेरै सम्भावनाहरू छन्,’ रोड्रिग्जले वायर्डलाई भने। ‘यदि तपाइँले आक्रमणलाई श्रृंखलाबद्ध गर्नुभयो र एटीएमको कम्प्युटरमा पनि विशेष पेलोड पठाउनुभयो भने, तपाईँले आफ्नो फोन ट्याप गरेर नै एटीएमबाट निरन्तर नगद झिक्न सक्नुहुनेछ।’

रोड्रिग्जले एटीएमको कन्ट्याक्टलेस कार्ड रिडरहरू एनएफसी रिडरहरू र ईबेबाट पोइन्ट अफ सेल उपकरणहरू खरीद गरेर अनुसन्धान शुरु गरेका थिए। उनले चाँडै पत्ता लगाए कि धेरैले क्रेडिट कार्डबाट एनएफसी मार्फत  रिडरलाई पठाइएको डाटा प्याकेटको साइजलाई मान्य गरेन। कस्टम एन्ड्रोइड एपको प्रयोग गरेर, उनले सयौं गुणा डाटा प्याकेट पठाए जुन मेशिनले सोचेको भन्दा ठूलो थियो, जसले गर्दा ‘बफर ओभरफ्लो’ भएको थियो, जसअनुसार दशकौं पुरानो सफ्टवेयर जोखिमले आक्रमणकर्तालाई उपकरणको मेमोरी बिगार्न र आफ्नो कोड चलाउन अनुमति दिन्छ।

रोड्रिग्जले प्रभावित ब्राण्ड र विक्रेतालाई सुरक्षा जोखिमको बारेमा एक बर्ष पहिले सूचित गरिसकेका थिए, तर उनी भन्छन् कि भौतिकरूपमा प्याच हुनु पर्ने उपकरणहरुको संख्या एकदम ठूलो छ र धेरै समय लिनेछ। धेरै पिओएस टर्मिनलहरूले नियमित सफ्टवेयर अपडेटहरू प्राप्त गर्दैनन् भन्ने तथ्यले यस त्रुटिलाई अझ खतरनाक बनाउँछ।

अन्वेषकले आफ्ना अधिकांश खोजहरू एक बर्षसम्म सार्वजनिक गरेका थिएनन तर अब प्याचहरु कार्यान्वयन गर्न प्रभावित विक्रेताहरूलाई सचेत गराउन त्यसको बारेमा प्राविधिक विवरणहरू सेयर गरेका छन् ।