I distributori automatici sono macchine installate ormai in ogni dove che, previo pagamento, forniscono ai consumatori prodotti e servizi di vario genere. Tra i più conosciuti quelli che erogano snack e bevande.
L’italiano Matteo Pisani, CTO e co-fondatore di Remoria VR, una startup che progetta e produce dispositivi innovativi per la realtà virtuale per vivere un’esperienza pienamente immersiva, ha scoperto però un’importante falla di sicurezza in questi dispositivi.
Quando ci si trova davanti a un distributore automatico si può pagare in contanti, con carte di credito o in modalità contactless usando ad esempio il chip NFC integrato nel proprio smartphone.
In un articolo da poco apparso su Medium, Pisani ha spiegato di essere riuscito ad attaccare con successo i distributori automatici utilizzati per la distribuzione di prodotti di vario genere, sigarette comprese. Tali macchine sono installate su tutto il territorio nazionale.
L’informatico ha spiegato che è bastato studiare l’app ufficiale per i dispositivi mobili per accorgersi che conteneva alcune importanti vulnerabilità.
Dopo aver decompilato l’app ufficiale, Pisani ha innanzi tutto trovato molteplici riferimenti a RushOrm, uno strumento per Android che permette di interfacciarsi con i database usando classi Java.
L’esperto è quindi risalito ai nomi dei database utilizzati dall’applicazione per poi accorgersi che essi erano semplicemente protetti con l’IMEI del telefono in uso.
È bastato modificare il contenuto del database memorizzato in locale sullo smartphone per caricare il credito sul proprio account personale senza sborsare un centesimo.
Ovviamente il ricercatore ha segnalato il problema di sicurezza all’azienda che produce e installata i distributori suggerendo di accantonare l’approccio sino ad oggi utilizzato per migrare a un meccanismo decisamente più sicuro e affidabile.
Quanto scoperto da Pisani dimostra come gli aspetti legati alla sicurezza siano, a vari livelli, troppo spesso trattati con superficialità. L’utilizzo di un approccio cloud con l’invio e la ricezione dei dati attraverso una connessione cifrata avrebbe permesso di scongiurare del tutto qualunque possibilità di attacco.