Da qualche tempo, anche in Italia, si sta diffondendo l’idea delle casse automatiche anche in presenza di un operatore; di recente mi è capitato di servirmene a Roma, in corrispondenza di una nota piadineria. Il servizio di self service consiste in un grande schermo touch che permette di effettuare degli ordini, pagarli con carta e che poi vengono recapitati alla cassa come ordine da ritirare in seguito. Molto comodo, senza dubbio, soprattutto in caso di sovraffollamento alla cassa. Non vado da Mc Donalds da molti anni, ed ho appena scoperto che queste casse semi-automatiche sono diffuse anche lì.
Secondo il post sul blog ufficiale dell’informatico Geoff Huntley questi dispositivi funzionerebbero, nel caso della nota multinazionale, con Windows, e sarebbero dotati di un problema di sicurezza che andrebbe risolto al più presto: permettono infatti ad un utente anonimo e non loggato di accedere alle funzioni di Windows standard, tra cui la calcolatrice, senza alcuna protezione in merito. La proof of concept del problema è stata fornita da Huntley stesso, in un video che ha recentemente postato su Twitter. In un negozio a Blaxland l’informatico ha scoperto che le casse automatiche con touch eseguono Windows 7 con utente amministratore, l’input del touch screen è abilitato per cui un utente anonimo potrebbe di fatto eseguire qualsiasi app.
L’operazione è stata confermata osservando l’avvio del dispositivo touch, processo che in fase di bootstrap può essere interrotto e forzato in modalità provvisoria permettendo così l’accesso indebito.
CVE-2022-244622: A local unauthenticated attacker within a @McDonalds could exploit this knowledge to pop calc.exe.
The default user on the terminals is Administrator and touch screen input is enabled. pic.twitter.com/uG1pXG6iYb
— geoff (@GeoffreyHuntley) July 22, 2022
Ovviamente lo scopo di questo genere di segnalazioni è di renderle pubbliche perchè siano risolte, sfruttando un principio noto in informatica come full disclousure. Un principio che in genere alle multinazionali non piace, perchè assume che tutto quello che viene fatto in fase di programmazione sia pubblico, il che aiuta la sicurezza informatica generale ma va abbastanza in direzione contraria rispetto al segreto aziendale ed alle politiche interne che tendono, invece, ad essere più restrittive. I full disclosure indicano infatti alcuni tipi di falle informatiche che vengano pubblicamente rivelate, e sulle quali diventa automatico o implicito, almeno nel caso di software open source (ovvero con codice sorgente pubblico), porre provvedimenti che siano patch o nuove versioni da parte degli sviluppatori dello stesso.
La falla in questione è stata ufficialmente classificata come CVE-2022-244622.
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟢 Come si fa la moltiplicazione araba [GUIDA]
- 🔵 Domini .PRO: come e dove registrarne uno
- 🟢 Come si fa la moltiplicazione araba [GUIDA]
