Seguici su Telegram, ne vale la pena ❤️ ➡ @trovalost
Vai al contenuto

Casse automatiche con touch hackerabili: un caso da risolvere al più presto

Non ha ancora votato nessuno.

Da qualche tempo, anche in Italia, si sta diffondendo l’idea delle casse automatiche anche in presenza di un operatore; di recente mi è capitato di servirmene a Roma, in corrispondenza di una nota piadineria. Il servizio di self service consiste in un grande schermo touch che permette di effettuare degli ordini, pagarli con carta e che poi vengono recapitati alla cassa come ordine da ritirare in seguito. Molto comodo, senza dubbio, soprattutto in caso di sovraffollamento alla cassa. Non vado da Mc Donalds da molti anni, ed ho appena scoperto che queste casse semi-automatiche sono diffuse anche lì.

Screen Shot 2022 07 25 at 7

Secondo il post sul blog ufficiale dell’informatico Geoff Huntley questi dispositivi funzionerebbero, nel caso della nota multinazionale, con Windows, e sarebbero dotati di un problema di sicurezza che andrebbe risolto al più presto: permettono infatti ad un utente anonimo e non loggato di accedere alle funzioni di Windows standard, tra cui la calcolatrice, senza alcuna protezione in merito. La proof of concept del problema è stata fornita da Huntley stesso, in un video che ha recentemente postato su Twitter. In un negozio a Blaxland l’informatico ha scoperto che le casse automatiche con touch eseguono Windows 7 con utente amministratore, l’input del touch screen è abilitato per cui un utente anonimo potrebbe di fatto eseguire qualsiasi app.

L’operazione è stata confermata osservando l’avvio del dispositivo touch, processo che in fase di bootstrap può essere interrotto e forzato in modalità provvisoria permettendo così l’accesso indebito.

Ovviamente lo scopo di questo genere di segnalazioni è di renderle pubbliche perchè siano risolte, sfruttando un principio noto in informatica come full disclousure. Un principio che in genere alle multinazionali non piace, perchè assume che tutto quello che viene fatto in fase di programmazione sia pubblico, il che aiuta la sicurezza informatica generale ma va abbastanza in direzione contraria rispetto al segreto aziendale ed alle politiche interne che tendono, invece, ad essere più restrittive. I full disclosure indicano infatti alcuni tipi di falle informatiche che vengano pubblicamente rivelate, e sulle quali diventa automatico o implicito, almeno nel caso di software open source (ovvero con codice sorgente pubblico), porre provvedimenti che siano patch o nuove versioni da parte degli sviluppatori dello stesso.

La falla in questione è stata ufficialmente classificata come CVE-2022-244622.

👇 Da non perdere 👇



Trovalost.it esiste da 4456 giorni (12 anni), e contiene ad oggi 5935 articoli (circa 4.748.000 parole in tutto) e 13 servizi online gratuiti. – Leggi un altro articolo a caso

Ti sembra utile o interessante? Vota e fammelo sapere.

Questo sito contribuisce alla audience di sè stesso.
Il nostro network informativo: Lipercubo.it - Pagare.online - Trovalost.it.