В современном мире автоматизированные платежные системы становится неотъемлемой частью повседневной жизни. От прачечных самообслуживания и игровых залов до торговых автоматов и автомоек - все эти устройства используют бесконтактные карты для оплаты. Однако недавно стала известна серьёзная уязвимость в NFC-картах, которыми пользуются миллионы людей по всему миру. Эта уязвимость открывала возможность бесконечного пополнения баланса карты, фактически позволяя мошенникам создавать деньги из воздуха. Рассмотрим подробнее эту проблему, причины ее возникновения и способы решения, а также почему на устранение подобных уязвимостей требуется больше времени, чем хотелось бы.
Компания KioSoft является одним из ведущих производителей платежных решений и автоматизированных терминалов самообслуживания. По собственным данным, её устройства установлены более чем в 35 странах и используются в широком спектре областей - от вендинга до автомоек. Однако в конце 2023 года специалисты компании SEC Consult, входящей в группу Eviden, обнаружили серьёзную уязвимость в NFC-картах KioSoft, которая получила обозначение CVE-2025-8699. Эта уязвимость позволяла злоумышленникам значительно увеличить баланс пластиковых карт, используемых для оплаты услуг и товаров, без каких-либо реальных денежных вложений. Основная причина проблемы кроется в устройстве и архитектуре хранения данных на самих картах.
В отличие от классических денежных систем, где баланс и история операций строго контролируются централизованной базой данных, уязвимые карты хранили информацию о текущем балансе локально, прямо на карте. Используемая технология - MIFARE Classic - уже давно известна своими проблемами с безопасностью. Множество исследований показали, что эта технология подвержена различным атакам, в том числе клонированию и изменению данных. Из-за недостаточной защиты, злоумышленники могли считать текущий баланс с карты, изменить данные, увеличив его до максимально допустимого значения, и записать обратно на карту. Таким образом, один и тот же пластик мог непрерывно пополняться и использоваться, что изначально и стало причиной скандала вокруг уязвимости.
Специалисты отметили, что баланс можно было поднять примерно до 655 долларов, что является достаточно крупной суммой для мошенников. Для реализации атаки требуется специализированное оборудование, например, Proxmark - устройство, предназначенное для анализа и взаимодействия с RFID- и NFC-метками. Этот инструмент широко используется в исследованиях безопасности и позволяет считывать, дешифровывать и модифицировать данные, хранящиеся на картах. Важен и уровень технических знаний: атакующему необходимо было хотя бы общее понимание уязвимостей, присущих MIFARE Classic. Обнаружив проблему, специалисты SEC Consult сразу же предприняли меры по уведомлению производителя.
Тем не менее, процесс исправления оказался сложнее и длительнее, чем ожидалось. В течение более чем года KioSoft занималась разработкой патча и обновлений программного обеспечения, направленных на устранение уязвимости. Представители компании не сразу отвечали на запросы исследователей, а потом неоднократно просили продлить сроки раскрытия проблемы. Только с вмешательством экспертов CERT удалось добиться прогресса в решении вопроса. В числе важных мер по устранению уязвимости - выпуск обновленной прошивки для терминалов, обеспечивающей правильную обработку балансов и переход к более защищенным способам хранения данных.
Летом 2025 года компания анонсировала выпуск обновления, однако подробности о версиях прошивок и конкретных внедрениях остались закрытыми. Производитель уверяет, что в будущем намерен перейти на новые аппаратные платформы с улучшенной безопасностью, чтобы исключить подобные проблемы. Стоит отметить, что компания KioSoft заявляет: лишь часть её устройств использует уязвимую технологию MIFARE Classic, и многие решения построены с учетом современных требований безопасности. Тем не менее масштаб использования продуктов компании и широкое распространение NFC-карт означают, что потенциально угрожаемая аудитория довольно велика. Интересно, что несмотря на завершение проекта исправления, специалисты SEC Consult не смогли проверить эффективность патчей, так как у них отсутствовал доступ к тестовым терминалам, разработанным с новой прошивкой.
Это подчеркивает сложность верификации безопасности для подобных устройств и необходимость системного подхода к обновлению инфраструктуры. Эта история стала очередным напоминанием о том, что технологии NFC и RFID, несмотря на всю свою популярность и удобство, требуют постоянного внимания к безопасности и обновлениям. Старые стандарты, такие как MIFARE Classic, все чаще становятся слабым звеном и требуют либо максимальной защиты на программном уровне, либо полного перехода на более современные системы. Для конечных пользователей важно понимать риски, связанные с использованием устаревших технологий, и при возможности выбирать сервисы и провайдеров, которые уделяют должное внимание безопасности платежей. Производителям же стоит инвестировать в разработки своих решений, предусматривающих защиту данных на каждом уровне, чтобы минимизировать шансы использования подобных уязвимостей.
В целом, ситуация с уязвимостью NFC-карт KioSoft - это сильный пример того, каким образом ошибки в архитектуре хранения данных и недостаточный контроль могут привести к серьёзным финансовым рискам. Только совместные усилия исследователей, производителей и служб реагирования позволяют своевременно выявлять такие угрозы и нейтрализовать их, повышая доверие пользователей к современным технологиям бесконтактной оплаты. .
