Vanderhoof ha infatti scoperto che questi distributori usavano delle smart card obsolete, le Mifare Classic della NXP Semiconductor, le cui insicurezze sono note dal 2008.
Ma Nestlé (titolare del marchio Nespresso) ha continuato a usare queste smart card vulnerabili, e così Vanderhoof ha usato un lettore di carte NFC e del software per analizzare le comunicazioni crittografate fra le smart card e il distributore ed è riuscito a decifrarle.
Ha scoperto così che il valore della carta veniva salvato sulla carta stessa invece di risiedere su un server remoto: una soluzione molto semplice, snella ed efficace, ma anche molto vulnerabile.
Il ricercatore ha così alterato i tre byte (24 bit) usati per memorizzare il credito disponibile sulla tessera e ci ha scritto il valore massimo possibile, ossia 167.772,15 euro.
Per chi stesse pensando di imitare Vanderhoof per avere caffè gratis a vita: sarebbe un reato, e comunque Nestlè ha già modificato i propri sistemi, proprio perché Vanderhoof l’ha avvisata: il ricercatore ha infatti agito responsabilmente e ha prima avvisato l’azienda e poi, una volta sistemato il problema, ha pubblicato un articolo tecnico che lo spiegava.
La vicenda resta utile come promemoria: per le altre aziende, del fatto che usare tecnologia obsoleta è un rischio; per noi comuni utenti, del fatto che la crittografia e le insicurezze informatiche si possono nascondere ovunque. Persino in un banale caffè.
Fonti aggiuntive: Sophos, The Register.
Nessun commento:
Posta un commento