圖片來源: 

Matteo Pisani

隨著時代的演變,市場上的自動販賣機已從傳統的投幣模式進展到可用行動程式中的虛擬錢包來付款,同時也替駭客開闢了一個新樂園,一名義大利的安全研究人員Matteo Pisani最近駭進了當地著名的咖啡自動販賣機品牌Argenta,讓自己能夠於行動程式上免費地無限儲值。

Pisani說,有一天他到義大利的大學去拜訪某位老教授,兩人一起走到校園裡的Argenta自動販賣機想買咖啡,Pisani想要以銅板投幣,教授卻說不必,因為他用Argenta的行動程式付款還可以打折,於是當Pisani看到教授以程式中的虛擬錢包買了咖啡時,一方面覺得這好酷,另一方面卻也激起他的邪惡念頭,想要駭進這個以低功耗藍牙(BLE)及近場通訊(NFC)所建立的付款機制。

於是當天他回到家的時候,就下載了Argenta的行動程式並於電腦上變更該程式以讓它能夠被除錯/調試,繼之觀察與分析該程式的行為,找出程式所使用的資料庫與存取途徑,進而發現資料庫的其中一個表格能夠變更儲值金額,就算他的帳號原本的儲值金額是零,也能填入999歐元(約3.6萬元新台幣),未來還可周而復始地儲值。

Pisani表示,在檢查所有反向的原始碼之後,他發現了大量的乾淨程式碼,這些程式碼非常地清楚簡潔,毫不模糊,代表業者並沒有採用任何有力的措施來保護使用者的資料,或是保障程式的安全。

自詡為白帽駭客的Pisani主動通知了Argenta,並建議該公司拋棄現有的架構,並重新開發一個更安全的產品。


Advertisement

更多 iThome相關內容