As máquinas de café Nespresso automatizadas na Europa, podem ser facilmente manipuladas para obter “café grátis”, já que a empresa continua a usar um sistema de smartcard, extremamente vulnerável e nada adequado aos padrões da indústria, informa o pesquisador belga de segurança da informação Polle Vanhoof.
O pesquisador explica que algumas máquinas de autoatendimento, Nespresso Pro, utilizam um sistema de pagamento com cartão, equipado com Proximity Field Communication (NFC) desenvolvido pela Mifare (extremamente vulnerável).
Cartão equipado com NFC Mifare Classic, utilizado pelo pesquisador. Foto: Polle Vanhoof.
Também em março de 2008, pesquisadores de segurança vinculados à universidade holandesa Radboud Nijmegen conseguiram clonar e manipular dados do chip Mifare Classic. Vanhoof comenta que a descoberta chamou muita atenção na época, principalmente porque a tecnologia era usada no sistema de pagamento de transporte público na Holanda.
A tecnologia, vulnerável desde 2008, ainda é amplamente utilizada por empresas em todo o mundo. Em uma breve pesquisa sobre sites de importação e lojas online, você poderá encontrar várias opções de Mifare NFC sendo vendidas a preços baixos, como etiquetas, crachás e cartões de acesso.
“Desde a publicação desta pesquisa, a série Mifare Classic é considerada insegura e não deve ser usada para realizar trabalhos que envolvam segurança. O Mifare oferece alternativas à sua série Classic, sendo o Mifare Plus o substituto imediato do Mifare Classic com um nível de segurança certificado (baseado em AES-128) totalmente compatível com o Mifare Classic ”, explica o pesquisador.
Sabendo da vulnerabilidade do sistema Mifare Classic, Vanhoof decidiu testar a integridade dos pagamentos no Nespresso Pro e em seu blog, relatou todo o processo de engenharia reversa empregado na pesquisa.
Usando um leitor NFC e um pouco de Python, Vanhoof conseguiu quebrar a criptografia básica do sistema e manipular seus dados. Primeiro, ele fez uma compra, para entender como o cartão lida com os pagamentos. Depois, alterou o código onde os créditos estão armazenados e inseriu mais de EU € 167 mil no “smart card”.
O leitor é muito pequeno para exibir o número 167.772,15 inteiro, que é equivalente ao valor em Euro inserido na tag. Foto: Polle Vanhoof.
A principal vulnerabilidade desse sistema é que as informações de crédito são armazenadas na própria etiqueta e não em um sistema de controle central. O pesquisador justifica que as tags Mifare Classic são muito baratas e fáceis de instalar, mas é preciso levar em consideração a falta de segurança.
“Este é um design muito simples e econômico, requer menos hardware e software para ser implementado, o que o torna uma escolha provável para quem desenvolve tal sistema, sem saber das fragilidades de segurança do Mifare Classic”, escreve.
Uma das soluções apresentadas pelo pesquisador é armazenar as informações de crédito em um sistema remoto, protegido e criptografado, ao invés de armazená-las no cartão do usuário. Segundo o pesquisador, a Nespresso está trabalhando na solução do problema.
Fonte: Polle Vanhoof.