Hasta hace apenas algunos años, la interacción entre un usuario y una máquina expendedora se limitaba a colocar algunas monedas y esperar que saliera la golosina, la comida o la bebida deseada. Sin embargo, con el auge de la tecnología del Internet de las Cosas (IoT), estos dispositivos están cada vez más conectados a Internet.
Ahora, las máquinas expendedoras cuentan con una especie de tarjeta de crédito y una pantalla táctil para seleccionar el producto. Incluso, hay algunas máquinas donde se puede pagar desde una app móvil.
Matteo Pisani, un experto en seguridad informática, sintió curiosidad sobre la seguridad de esta app y decidió comprometerla. En este sentido, encontró una forma de obtener crédito ilimitado de la máquina al observar el comportamiento interno de la app de Android que funciona con el dispositivo.
En concreto, la máquina expendedora fue fabricada por la firma Argenta, con sede en Italia y recientemente adquirida por Selecta Group VB. Estas máquinas son utilizadas en todo EE.UU para vender desde cigarrillos hasta bebidas saborizadas. Pisani logró descomponer la app móvil de la máquina, la empaquetó e instaló en un smartphone, para finalmente analizar su actividad en búsqueda de posibilidades de que fuese hackeada.
El informe revela que en este proceso de monitoreo encontró una herramienta de Android llamada RushOrm, que se encarga de asignar credenciales Java a tablas SQL, siendo compatible con bases de datos. De esta forma, Pisani encontró que la app usaba una base de datos cuyo nombre es ‘argenta.db’, la cual fue localizada y extraída en su ordenador portátil. Evidentemente, estaba protegida por contraseña.
Luego de analizar la configuración de RushOrm, el hacker determinó que el código fuente de la app utilizaba el código IMEI del móvil para impedir el acceso a la base de datos. Cuando analizó dicha base de datos, Pisani encontró un archivo llamado ‘UseWallets’, con un campo editable que permite colocar cuánto será el límite de crédito que los usuarios pueden usar en las máquinas de Argento. Finalmente, colocó un crédito de 999 euros.
Pisani afirma que comunicó sus hallazgos a Argento antes de hacerlos públicos, sugiriéndoles que eliminaran su arquitectura de software y desarrollaran una app más segura.