Een beveiligingsonderzoeker is erin geslaagd om de firmware van een valsgelddetector te hacken en aan te passen, zodat het apparaat vervolgens vals geld accepteerde. Ruben Santamarta van beveiligingsbedrijf IOActive besloot de Secureuro te onderzoeken.

Deze valsgelddetector is zeer populair in Spanje, het geboorteland van Santamarta, maar wordt ook in Nederland aangeboden. Daarnaast was het mogelijk om de firmware van het apparaat via de website van de leverancier te downloaden. Via de Secureuro kunnen werknemers van winkels, supermarkten, postkantoren, banken en benzinestations de echtheid van eurobiljetten controleren.

Aan de hand van onder andere een YouTube-video analyseerde Santamarta de werking van het apparaat, bijvoorbeeld wanneer de lampjes aangaan of er een geluid wordt afgespeeld en welke berichten er in de display verschijnen. Ook bekeek de onderzoeker de handleiding van apparaat, waarin een aantal claims stonden die niet geheel of helemaal niet waar waren. Zo bleek dat de firmware met geen enkele vorm van encryptie was beschermd.

Firmware

Santamarta benadrukt dat hij geen trucs wil laten zien die criminelen kunnen gebruiken. Ook is het niet zijn bedoeling om valse biljetten goed te laten keuren. "Mijn enige doel is om uit te leggen hoe ik de code achter de [vals geld] controle identificeerde om zo een 'getrojaniseerde' firmware te maken die zelfs een eenvoudig papiertje als een geldig bankbiljet accepteert. We maken geen misbruik van een lek in het apparaat, alleen van het ontwerp."

In de firmware trof de onderzoeker een functie aan die bepaalt of bankbiljetten echt zijn of niet. Door het aanpassen hiervan accepteerde het apparaat toch valse biljetten als legitiem. "De impact is duidelijk. Een aanvaller met tijdelijke fysieke toegang tot het apparaat kan aangepaste firmware installeren en het apparaat vals geld laten accepteren", stelt Santamarta. Hij merkt op dat gezien de plekken waar deze apparaten zich bevinden, dit scenario wel degelijk realistisch is.