Investigadores hackean un detector de dinero falso y hacen que acepte trozos...

Iniciado por wolfbcn, 30 Octubre 2013, 19:09 PM

0 Miembros y 2 Visitantes están viendo este tema.

wolfbcn

Ruben Santamarta, un investigador de seguridad de IOActive, ha encontrado una manera de hackear el firmware de un detector de dinero falso que es ampliamente utilizado en España y hacerlo aceptar un simple pedazo de papel como moneda válida.

El dispositivo en el que el experto realizó su investigación es Secureuro, diseñado para identificar billetes falsos de euro.

Según el fabricante, el detector de dinero falso no puede ser duplicado y no puede ser engañado. Sin embargo, el experto ha demostrado que estas afirmaciones no son exactas.

En primer lugar, Santamarta descubrió que puede acceder al firmware y el EEPROM en Secureuro sin ningún hackeo de hardware. Además, el firmware no está protegido por ningún sistema de cifrado.

"Mi intención no es falsificar un billete que podría pasar como legítimo, ya que eso es un delito criminal. Mi único propósito es explicar cómo he identificado el código detrás de la validación para crear firmware 'troyano' que acepta incluso un simple pedazo de papel como moneda válida", señaló el experto.

"No estamos explotando una vulnerabilidad en el dispositivo, sino sólo una función de diseño", agregó.

Santamarta ha logrado crear su propio firmware que instruye al dispositivo a aceptar incluso un trozo de papel como moneda válida. Un atacante que tenga ese firmware modificado sólo necesita acceso físico temporal al detector para poder instalarlo y hacer que ya no identifique el dinero falsificado.

"Teniendo en cuenta los tipos de lugares donde se utilizan generalmente estos dispositivos (tiendas, centros comerciales, oficinas, etc.), este escenario es más que factible", dijo.

Esperemos que este tipo de investigación convenza a los vendedores de que es realmente necesario integrar sistemas de seguridad en estos detectores de dinero falso.

Detalles técnicos adicionales y un vídeo que demuestra el ataque pueden encontrarse en el blog de IOActive http://blog.ioactive.com/2013/10/hacking-counterfeit-money-detector-for.html?m=1

http://news.softpedia.es/Investigadores-hackean-un-detector-de-dinero-falso-y-hacen-que-acepte-trozos-de-papel-como-dinero-valido-395540.html
La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.