- Автор темы
- #1
Исследователи ИБ-компании SEC Consult, входящей в состав Eviden, рассказали, что занимающаяся платежными решениями компания KioSoft больше года устраняла серьезную уязвимость, затрагивающую некоторые из ее NFC-карт.
Компания KioSoft производит автоматизированные платежные терминалы самообслуживания, которые используются в прачечных самообслуживания, игровых залах, торговых автоматах и автомойках. Компания имеет офисы в семи странах, а на ее официальном сайте указано, что она установила более 41 000 киосков самообслуживания и 1,6 млн платежных терминалов в 35 странах мира.
Еще в 2023 году специалисты SEC Consult обнаружили, что некоторые предоплаченные карты KioSoft, которые клиенты могут пополнять для использования в конкретных платежных терминалах, были затронуты уязвимостью CVE-2025-8699. Эту проблему можно было эксплуатировать для бесплатного пополнения баланса карты.
Атака основывалась на том факте, что информация о балансе хранилась на карте локально, а не в защищенной онлайн-базе данных. Уязвимые карты использовали технологию NFC-карт MIFARE Classic, которая имеет немало проблем с безопасностью.
Основываясь на уже известных уязвимостях MIFARE и анализируя, как данные хранятся на картах KioSoft, исследователи обнаружили, что могут считывать и записывать данные с карт, что позволяло им буквально «создавать деньги из воздуха». Так, хакер мог максимально увеличить баланс карты до 655 долларов США, но процесс этот можно было повторять неоднократно.
По словам экспертов, для реализации такой атаки можно было использовать инструмент, вроде Proxmark, который предназначен для анализа безопасности RFID, исследований и разработки. Также атакующему нужно было иметь хотя бы общее представление об уязвимостях MIFARE.
В своем отчете исследователи рассказали, что KioSoft потребовалось более года для выпуска патча. Так, специалисты впервые связались с KioSoft еще в октябре 2023 года, однако производитель не отвечал им до тех пор, пока к делу не подключились эксперты CERT.
И даже после этого вендор неоднократно запрашивал продление сроков раскрытия информации об уязвимости, а в конечном итоге сообщил исследователям, что обновленная прошивка вышла летом 2025 года. Также в KioSoft подчеркнули, что в будущем планируют выпустить новые аппаратные решения с лучшей защитой.
При этом в KioSoft отказались предоставить номера версий уязвимых и исправленных релизов, утверждая, что пострадавшие клиенты будут уведомлены в частном порядке. Хотя продукты KioSoft применяются очень широко, в компании заявляют, что большинство ее решений не используют уязвимую технологию MIFARE.
Специалисты SEC Consult пишут, что более не имеют доступа к терминалам, на которых первоначально проводилось исследование, поэтому им не удалось проверить надежность наконец вышедших патчей.
Компания KioSoft производит автоматизированные платежные терминалы самообслуживания, которые используются в прачечных самообслуживания, игровых залах, торговых автоматах и автомойках. Компания имеет офисы в семи странах, а на ее официальном сайте указано, что она установила более 41 000 киосков самообслуживания и 1,6 млн платежных терминалов в 35 странах мира.
Еще в 2023 году специалисты SEC Consult обнаружили, что некоторые предоплаченные карты KioSoft, которые клиенты могут пополнять для использования в конкретных платежных терминалах, были затронуты уязвимостью CVE-2025-8699. Эту проблему можно было эксплуатировать для бесплатного пополнения баланса карты.
Атака основывалась на том факте, что информация о балансе хранилась на карте локально, а не в защищенной онлайн-базе данных. Уязвимые карты использовали технологию NFC-карт MIFARE Classic, которая имеет немало проблем с безопасностью.
Основываясь на уже известных уязвимостях MIFARE и анализируя, как данные хранятся на картах KioSoft, исследователи обнаружили, что могут считывать и записывать данные с карт, что позволяло им буквально «создавать деньги из воздуха». Так, хакер мог максимально увеличить баланс карты до 655 долларов США, но процесс этот можно было повторять неоднократно.
По словам экспертов, для реализации такой атаки можно было использовать инструмент, вроде Proxmark, который предназначен для анализа безопасности RFID, исследований и разработки. Также атакующему нужно было иметь хотя бы общее представление об уязвимостях MIFARE.
В своем отчете исследователи рассказали, что KioSoft потребовалось более года для выпуска патча. Так, специалисты впервые связались с KioSoft еще в октябре 2023 года, однако производитель не отвечал им до тех пор, пока к делу не подключились эксперты CERT.
И даже после этого вендор неоднократно запрашивал продление сроков раскрытия информации об уязвимости, а в конечном итоге сообщил исследователям, что обновленная прошивка вышла летом 2025 года. Также в KioSoft подчеркнули, что в будущем планируют выпустить новые аппаратные решения с лучшей защитой.
При этом в KioSoft отказались предоставить номера версий уязвимых и исправленных релизов, утверждая, что пострадавшие клиенты будут уведомлены в частном порядке. Хотя продукты KioSoft применяются очень широко, в компании заявляют, что большинство ее решений не используют уязвимую технологию MIFARE.
Специалисты SEC Consult пишут, что более не имеют доступа к терминалам, на которых первоначально проводилось исследование, поэтому им не удалось проверить надежность наконец вышедших патчей.