image

Firmware-hack laat valsgelddetector vals geld accepteren

donderdag 31 oktober 2013, 14:30 door Redactie, 5 reacties

Een beveiligingsonderzoeker is erin geslaagd om de firmware van een valsgelddetector te hacken en aan te passen, zodat het apparaat vervolgens vals geld accepteerde. Ruben Santamarta van beveiligingsbedrijf IOActive besloot de Secureuro te onderzoeken.

Deze valsgelddetector is zeer populair in Spanje, het geboorteland van Santamarta, maar wordt ook in Nederland aangeboden. Daarnaast was het mogelijk om de firmware van het apparaat via de website van de leverancier te downloaden. Via de Secureuro kunnen werknemers van winkels, supermarkten, postkantoren, banken en benzinestations de echtheid van eurobiljetten controleren.

Aan de hand van onder andere een YouTube-video analyseerde Santamarta de werking van het apparaat, bijvoorbeeld wanneer de lampjes aangaan of er een geluid wordt afgespeeld en welke berichten er in de display verschijnen. Ook bekeek de onderzoeker de handleiding van apparaat, waarin een aantal claims stonden die niet geheel of helemaal niet waar waren. Zo bleek dat de firmware met geen enkele vorm van encryptie was beschermd.

Firmware

Santamarta benadrukt dat hij geen trucs wil laten zien die criminelen kunnen gebruiken. Ook is het niet zijn bedoeling om valse biljetten goed te laten keuren. "Mijn enige doel is om uit te leggen hoe ik de code achter de [vals geld] controle identificeerde om zo een 'getrojaniseerde' firmware te maken die zelfs een eenvoudig papiertje als een geldig bankbiljet accepteert. We maken geen misbruik van een lek in het apparaat, alleen van het ontwerp."

In de firmware trof de onderzoeker een functie aan die bepaalt of bankbiljetten echt zijn of niet. Door het aanpassen hiervan accepteerde het apparaat toch valse biljetten als legitiem. "De impact is duidelijk. Een aanvaller met tijdelijke fysieke toegang tot het apparaat kan aangepaste firmware installeren en het apparaat vals geld laten accepteren", stelt Santamarta. Hij merkt op dat gezien de plekken waar deze apparaten zich bevinden, dit scenario wel degelijk realistisch is.

Reacties (5)
31-10-2013, 14:45 door waaromdan
Met andere woorden: de winkelier moet zo nu en dan het apparaat vals geld te eten geven als test.
31-10-2013, 15:06 door Anoniem
Door waaromdan: Met andere woorden: de winkelier moet zo nu en dan het apparaat vals geld te eten geven als test.

Zucht... Nee hij moet de JTAG afsluiting dicthen en af en doe eens een stukje A4 papier erdoorheen knallen,

http://www.youtube.com/feature=player_embedded
31-10-2013, 16:08 door Anoniem
Door waaromdan: Met andere woorden: de winkelier moet zo nu en dan het apparaat vals geld te eten geven als test.
Bezit is al strafbaar, dus da's niet echt een goede tip!

Overigens kun je heel makkelijk zelf controleren of een biljet echt is, vooral de ribbeltjes op de voorzijde in het midden zijn heel moeilijk na te maken. Even krassen met je nagel en je hebt al 99.9% zekerheid.
31-10-2013, 16:17 door [Account Verwijderd] - Bijgewerkt: 31-10-2013, 16:18
[Verwijderd]
01-11-2013, 01:38 door waaromdan
Door Anoniem: Nee af en toe eens een stukje A4 papier erdoorheen knallen.

Dat is wat ik bedoelde met ''vals geld''. Biljetten die niet legitiem zijn. Wat voor biljetten dan ook. Als je maar ziet dat het apparaat niet op elk biljet groen licht geeft. Ik neem aan dat de standaard winkelier immers geen echt-gelijkend nagemaakt geld in bezit heeft.

Door Peter V.:
http://www.youtube.com/feature=player_embedded
404 not found

Ja de link bevat geen identificatiecode van de video. Komt doordat hij ingelogd was terwijl hij de link kopieerde.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.