Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Entradas populares

PostHeaderIcon Autoservicio de McDonald's en Australia todavía usan Windows 7


 La historia de Geoff Huntley con las máquinas de McDonald's en Australia es bastante curiosa (que por cierto es el mismo usuario que creó la web 'The NFT Bay' como parodia). Y es que según comenta, estas máquinas ejecutan Windows 7, y desde su panel táctil, y con algo de maña, es posible ejecutar cualquier aplicación, y algo todavía más peligroso: inyectar código malicioso.





Terminales con Windows 7 y totalmente desprotegidos

Como sabéis, los empleados han sido prácticamente reemplazados a la hora de hacer un pedido dentro de un McDonald's. Ahora los pedidos se hacen a través de terminales táctiles, como bien hemos mencionado. Si bien este método es fácil y ágil (para aquellos que estén acostumbrados a las pantallas), las máquinas suelen fallar a menudo. Y de hecho, según comenta Huntley, es un sistema que depende del papel que haya en las máquinas para imprimir el ticket.


La cuestión se complica cuando hay demasiados pedidos y la máquina de papel para imprimir el ticket en el interior de estos terminales se agota de forma más rápida. Y es que según comenta Huntley, cuando esto sucede, los empleados de McDonald's optan por dejar desbloqueado el terminal para cambiar el papel de forma más fácil. Esto hace que los terminales queden completamente desprotegidos, y que alguien avispado pueda ejecutar código malicioso. 

  •  El usuario predeterminado en los terminales es Administrador y la entrada de pantalla táctil está habilitada.

Tal y como comenta Huntley, los terminales táctiles que hay en McDonald's son básicamente ordenadores ejecutando Windows 7 en modo administrador. De hecho, en un terminal abierto es posible encontrar puertos USB, los cuales alguien podría aprovechar para vulnerar la seguridad del establecimiento.  

Huntley ha aprovechado este suceso para mostrar cómo de fácil es vulnerar uno de estos terminales, y los peligros que esto conlleva. Afortunadamente, lo único que él ha hecho ha sido abrir la calculadora de Windows, pero alguien con intenciones menos amistosas podría hackear una de estas máquinas para conseguir información privada. No olvidemos que a estos terminales va conectado un datáfono, donde cientos de personas cada día lo utilizan para pagar sus pedidos.


Si a alguien se le ocurriese instalar malware en uno de estos terminales, habría posibilidades de que se hiciese con los datos de pago de muchos clientes. Bastaría con insertar un USB, o entrar al modo de recuperación. De hecho, según confirma Huntley, el terminal es el responsable de instalar un custom firmware para el lector de tarjetas. Y cuando la interacción con el usuario está activa, en teoría sería posible forzar los terminales al modo de recuperación en el inicio con tan solo pulsar en la pantalla.

Huntley señala dos cosas que McDonald's hace mal en estos terminales: confiar en que los terminales estén protegidos físicamente para poder ejecutarlos en modo administrador, y los errores persistentes de la interfaz de usuario a la hora de realizar un pedido, ya que muchas veces bloquean la vista del número de pedido y crean confusión en los clientes, haciendo que cojan pedidos que no son suyos.


Fuentes:

https://www.genbeta.com/seguridad/hackear-quiosco-autoservicio-mcdonalds-puede-ser-muy-facil-tienen-windows-7-como-administrador-estan-desprotegidos 

https://ghuntley.com/mcdonalds/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.