Automatisierte Nespresso-Kaffeemaschinen in Europa, kann leicht manipuliert werden, um “kostenlosen Kaffee” zu erhalten, da das Unternehmen weiterhin a Smartcard-System, extrem anfällig und nichts, was den Industriestandards entspricht, informiert der belgische Informationssicherheitsforscher Polle Vanhoof.
Der Forscher erklärt, dass einige Selbstbedienungsautomaten, Nespresso Pro, ein Kartenzahlungssystem verwenden, das mit ausgestattet ist Von Mifare entwickelte Proximity Field Communication (NFC) (äußerst anfällig).
Ebenfalls im März 2008 konnten Sicherheitsforscher der niederländischen Universität Radboud Nijmegen Klonen und Bearbeiten von Mifare Classic-Chipdaten. Vanhoof kommentiert, dass die Entdeckung zu dieser Zeit viel Aufmerksamkeit auf sich gezogen hat, hauptsächlich weil Die Technologie wurde im Zahlungssystem für den öffentlichen Verkehr in den Niederlanden eingesetzt.
Die seit 2008 anfällige Technologie wird von Unternehmen auf der ganzen Welt immer noch häufig eingesetzt. Eine kurze Übersicht auf Import-Websites und Online-Shops Sie können mehrere Mifare NFC-Optionen finden, die zu niedrigen Preisen verkauft werdenwie Tags, Abzeichen und Zugangskarten.
„Seit der Veröffentlichung dieser Studie gilt die Mifare Classic-Reihe als unsicher und darf nicht für sicherheitsrelevante Arbeiten verwendet werden. Mifare bietet Alternativen zu seiner Classic-Serie, wobei Mifare Plus der sofortige Ersatz für Mifare Classic mit einer zertifizierten Sicherheitsstufe (basierend auf AES-128) ist, die vollständig mit Mifare Classic kompatibel ist “, erklärt der Forscher.
Vanhoof kannte die Sicherheitslücke des Mifare Classic-Systems und beschloss, die Integrität der Zahlungen auf Nespresso Pro und zu testen Sein Blog berichtete über den gesamten Reverse Engineering-Prozess, der in der Forschung eingesetzt wurde.
Mit einem NFC-Reader und etwas Python gelang es Vanhoof, die grundlegende Systemverschlüsselung zu brechen und ihre Daten zu manipulieren. Zuerst kaufte er ein, um zu verstehen, wie die Karte Zahlungen abwickelt. Nach dem, Der Code, in dem die Gutschriften gespeichert sind, wurde geändert und mehr als 167.000 EUR in die „Smartcard“ eingefügt.
Die Hauptschwachstelle dieses Systems ist die folgende Kreditinformationen werden im Tag selbst und nicht in einem zentralen Steuerungssystem gespeichert. Der Forscher begründet, dass Mifare Classic-Tags sehr billig und einfach zu installieren sind, aber es ist notwendig, ihre mangelnde Sicherheit zu berücksichtigen.
“Dies ist ein sehr einfaches und wirtschaftliches Design, für dessen Implementierung weniger Hardware und Software erforderlich sind. Dies macht es zu einer wahrscheinlichen Wahl für jeden, der ein solches System entwickelt. keine Kenntnis von den Sicherheitslücken des Mifare Classic“, schreibt.
Eine der vom Forscher vorgestellten Lösungen besteht darin, die Kreditinformationen auf einem entfernten, geschützten und verschlüsselten System zu speichern, anstatt sie auf der Karte des Benutzers zu speichern. Laut dem Forscher arbeitet Nespresso an einer Lösung für das Problem.
Quelle: Polle Vanhoof.
See the original post at: https://thehack.com.br/cafe-de-graca-pesquisador-manipula-sistema-de-giftcard-da-nespresso-e-insere-mais-de-eu-167-mil-em-seu-cartao/?rand=48891
