لینک کوتاه مطلب : https://hsgar.com/?p=6249

چرا کیوسک های سلف سرویس مک دونالد اینقدر قابل هک هستند؟

مک دونالد در استرالیا یک فنجان قهوه مناسب می نوشند. این عالی نیست، اما همیشه مناسب است، بنابراین من اغلب روزم را با یک فنجان شروع می کنم. با توجه به سفرهایم به اطراف استرالیا در یک ون عرشه دار دیده ام که چند مک دونالد کار می کند و چند تا از این ترمینال ها وجود دارد. لعنتی باز شد.

کارکنانی که دستمزد کمتری دریافت می‌کردند و قبلاً سفارش می‌دادند، با این کیوسک‌های سلف‌سرویس و فرآیندی که مبتنی بر بلیط است، جایگزین شده‌اند. وقتی کاغذ چاپگر بلیط تمام می شود، این فرآیند کاملاً از بین می رود و همانطور که مک دونالد سفارش های زیادی را انجام می دهد چاپگرها اغلب کاغذ تمام می شوند. طبق آنچه مشاهده کردم کارکنان در سراسر استرالیا قفل کیوسک ها را باز می گذارند تا تعویض کاغذ آسان تر شود.

داخل کیوسک یک NUC کامپیوتر x86 استاندارد با پورت‌های USB در معرض دید قرار دارد. حالا من از جوانی ام یاد گرفته ام اما جدا شده ام هکر بودن داشتن مشاهدات دقیق برای چیزهای واقعا احمقانه ای است که می توان از آنها استفاده کرد و شما هرگز آن مهارت را حتی پس از توقف تمرین از دست نمی دهید. این مانند سفر به یک شهر جدید با یک اسکیت باز است – همیشه به دنبال خطوط جدید برای اسکیت هستید.

سه روز پیش در فروشگاه بلکسلند وقتی متوجه چیزی کاملاً نگران‌کننده شدم، حواس عنکبوتی من شروع به گزگز کردن کرد. به نظر می رسد که این کیوسک ها ویندوز 7 را به عنوان مدیر اجرا می کنند، ورودی صفحه لمسی فعال است و در حالت عملیات بازیابی، عموم مردم می توانند هر برنامه ای را اجرا کنند.

پس چرا من نگرانم؟ چرا باید اهمیت بدی؟ پایانه های پرداخت متصل به این کیوسک ها وجود دارد. اگر کسی بدافزار را در اینجا نصب کند – فقط یک USB Stick را وارد کنید یا از حالت بازیابی استفاده کنید – پس ما نسل بعدی ATM skimming را داریم.

فاش شد – ماشین های پشت کلاهبرداری EFTPOS

یک کارشناس ارشد صنعت می گوید، کلاهبرداری که تقریباً 5 میلیون دلار از حساب های بانکی WA حذف کرده است، به این دلیل است که دستگاه های قدیمی EFTPOS به راحتی هک می شوند.

امروز در یکی دیگر از مک‌دونالدز، کل فرآیند بوت استرپ را مشاهده کردم و می‌توانم تأیید کنم که کیوسک واقعاً مسئول نصب «سیستم‌افزار سفارشی» روی کارت‌خوان است و از آنجایی که تعامل کاربر فعال است، از نظر تئوری، امکان وادار کردن پایانه‌ها به حالت بازیابی وجود دارد. وقتی با ضربه زدن روی صفحه بوت می شوند…

مک دونالد فرآیندهای شما به روش های زیر معیوب هستند:

  • کیوسک‌ها با این طراحی ساخته شده‌اند که «از نظر فیزیکی امن هستند، بنابراین کار کردن به‌عنوان مدیر اشکالی ندارد». این اشکالی ندارد.
  • رابط کاربری کیوسک دارای حالت‌های خطا است که دیدن شماره سفارش شخصی را مسدود می‌کند که باعث سردرگمی مشتری و اختلال در فرآیند می‌شود و افرادی که سفارش‌هایی را دریافت می‌کنند که مال آنها نیست، زیرا نمی‌دانند شماره سفارش آنها چیست. که منجر به این می شود که کارکنان با دستمزد کمتر، دستگاه ها را باز می گذارند تا انجام کاری که اغلب انجام می دهند آسان تر شود.

به هر حال، من اینجا نشسته‌ام با فنجان قهوه‌ام و به این فکر می‌کنم که استفاده از این پایانه‌ها برای جرایم مالی در آینده اجتناب‌ناپذیر است، در حالی که opsec (کارمندان فروشگاه و ماشین‌های کیوسک که به‌عنوان مدیر کار می‌کنند) بسیار آرام است.

با دانستن همه موارد بالا، دیگر از این کیوسک ها استفاده نمی کنم و توصیه می کنم شما نیز از این کار استفاده نکنید.

کاری که کسی با این دانش انجام می‌دهد به عنوان تمرینی برای خواننده باقی می‌ماند، اما دیدن صحبت طرف‌های b در جایی که کسی که به صورت قانونی یکی از این ترمینال‌ها را درست مانند بارنابی جک با دستگاه‌های خودپرداز در سال 2013 در DEFCON به دست آورد.

ps. اگر تا اینجا پیش رفتید، شاید از مطالب زیر نیز لذت ببرید…

‘اخاذی’: چرا Web3 بسیاری از توسعه دهندگان نرم افزار را عصبانی می کند

سرمایه گذاران خطرپذیر و کارآفرینان می گویند Web3 یک مدینه فاضله غیرمتمرکز خواهد بود. اما مهندس جفری هانتلی بیش از کمی شک دارد.

COVIDSafe: شکست ردیابی تماس دیجیتالی استرالیا

من به تنهایی در اینجا هستم و در حال خواندن نشریات واقعی از کشورهای دیگر هستم که در آن‌ها فناوری مناسب برای کمک به متخصصان پزشکی به کار گرفته شده است، در حالی که استرالیا در حال خراب شدن است.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.