come avere caffe illimitato tramite un bug
Buongiorno cari lettori, oggi parleremo delle smart card Nespresso che possono essere sfruttate per un caffè illimitato
Immaginiamo che la vostra smart card Nespresso non abbia limiti alla quantità di caffè che potete comprare con essa. Un po' troppo comodo, no? Solo che un ricercatore di sicurezza, Polle Vanhoof, spiega una vulnerabilità che rende effettivamente possibile tutto questo.
Il problema risiede nelle macchine Nespresso Pro che sono state dotate di un lettore di smart card le cui smart card si basano ancora sul chip MIFARE Classic.
Questo non è esattamente qualcosa che un'azienda dovrebbe trascurare considerando come i ricercatori di sicurezza hanno reingegnerizzato i chip, essendo in grado di clonare e manipolare la data del chip nel 2008, e hanno pubblicato i loro risultati.
Dopo questa pubblicazione, la serie MIFARE Classic è stata considerata non sicura e l'azienda ha introdotto un'alternativa più sicura, MIFARE Plus, che si basa su una crittografia più robusta (AES-128).
Con l'uso di un lettore di schede NFC, il comando nfc-mfclassic e mfoc (un software che decifra la crittografia dei chip MIFARE Classic), Vanhoof è stato in grado di accedere, visualizzare e apportare modifiche ai binari delle schede.
Facendo un acquisto con la carta, Vanhoof ha identificato quali binari cambiano poiché il valore della carta era memorizzato sulla carta stessa, e non su un server di terze parti.
Quando i binari sono stati confrontati dopo l'acquisto, Vanhoof ha notato che la carta utilizzava tre byte per rappresentare il valore totale.
"Pertanto, la massima quantità di denaro possibile in una di queste carte è 167.772,15 euro", ha spiegato il ricercatore.
Si dovrebbe semplicemente fare uso di un editor esadecimale, modificare il file e codificarlo sulla carta. In effetti, la macchina rileva la presenza del suddetto saldo e permette all'utente di comprare il caffè. Un caffè varrebbe un euro e ciò equivale a 167.772 caffè, cioè un caffè al giorno per 459 anni.
Vanhoof, nel suo post, ha consigliato a Nespresso di aggiornare le sue smart card e, soprattutto, di memorizzare il valore monetario su un server remoto piuttosto che sulla smart card stessa. "Dopo aver parlato con Nespresso, sembra che offrano già entrambe queste opzioni", ha detto.
spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.
