Fallos de seguridad en las app móviles ponen en alerta al vending

App monedero o contactles en el vending

HOSTELVENDING.com 14/01/2019.- Desde hace unos meses corre por la Red un vídeo en el que se muestra como un informático hackea la app desarrollada para Argenta, empresa operadora de las más importantes en Italia, para recargar su monedero electrónico sin gastar un euro.

Matteo Pisani, que así se llama la persona que lo ha puesto de manifiesto, lo publicó en Internet alertando sobre la fragilidad de este sistema de pago, aunque sin llegar a expresarlo explícitamente.

Las tecnologías están facilitando la transición del vending, una evolución que no está exenta de problemas como se pone de manifiesto en este caso. Si antes los robos también eran la principal preocupación de los operadores que tenían que andar pendientes del uso de monedas falsas o de trucos para sacar una Coca Cola gratis, la situación no ha cambiado, al menos en teoría.

La curiosidad de este individuo, que publica parte del recorrido en su blog (pero no completo) , lo llevó a plantearse cómo de seguros pueden ser los monederos virtuales de las máquinas expendedoras que había en su universidad.

Con su dispositivo móvil y descargándose la app de Argenta y tras navegar un poco por su código fue capaz de dar con un problema de seguridad en una contingencia en la que ni la máquina ni su móvil estaban conectados. Esta situación permitió al hacker incrementar su propio crédito de manera artificial y efectuar transacciones sin insertar contado en el sistema master.

Sitael, la compañía que desarrolló el sistema, ya había considrado esta posible situación de vulnerabilidad: "Los datos contables de crédito almacenados en los aparatos sin conectividad se pueden utilizar solo por un número limitado de compras y es el operador el que establece este número; en el caso de Argenta, el número consentía un máximo de dos transacciones. Al tercer intento de compra, el distribuidor detiene la adquisición y la aplicación expulsa al usuario en cuanto el móvil esté en línea. Eso es lo que ocurrió con el hacker pero que no terminó de incluir en el video".

Además, según detallan desde Sitael, no se ha intentado ningún ataque a la plataforma de computación en nube central, que es el núcleo del sistema y de los datos de los usuarios, donde a su vez se controla y verifican las transacciones y se garantiza la seguridad del sistema al completo: "La plataforma está protegida con criptografía y respeta los estándares de seguridad más estrictos. Además, existe un equipo interno dedicado a monitorear esto constantemente".

Como decimos no lo hacía con una intención delictiva, sino para mostrar cómo de frágiles pueden ser determinadas apps. Y es que el valor que determina cuánto dinero hay en la cartera del usuario está almacenado en una base de datos del teléfono. Es verdad que está protegida por contraseña y encriptada, pero resulta que la clave de es solo el número IMEI del smartphone.

Evidentemente no está al alcance de todos, pero cualquiera que tenga conocimientos de informática elevados podría haber llegado a esta conclusión y así lo avisa Pisani en su blog, teniendo en cuenta que se trata de un acto delictivo y tiene sus consecuencias penales.

Hemos hablado ampliamente con las empresas del sector y el resultado lo podréis ver en el próximo número de nuestra revista pero aquí os adelantamos que las principales conclusiones pasan porque nada puede ser 100% seguro.

"Seguramente, donde hay un movimiento de dinero, como en el vending, las apuestas se vuelven aún más sabrosas incluso si son en general cifras bastante bajas. El problema también es que aquellos que explotan software u otras herramientas para violar la seguridad de un dispositivo electrónico o una aplicación para ahorrar unos pocos euros, a veces ni siquiera se dan cuenta del hecho de cometer un fraude y los riesgos legales que esto puede implicar En este contexto, para las compañías que intentan proteger una computadora o un producto electrónico es como tratar de proteger un edificio: el desafío es tratar de excluir las amenazas reales sin impedir que el tráfico normal entre y salga y sin que sea imposible vivir para los usuarios, indica Luis del Amo de Coges.

Desde Orain señalan como clave en este caso el hecho de usar el IMEI del teléfono como clave de cifrado para la base de datos. "¿Se pueden evitar situaciones parecidas? No, se puede minimizar el riesgo (por ejemplo, en caso de Orain, no guardamos el saldo en la base de datos interna del teléfono, por lo cual, al descompilar la aplicación no se puede agregar más saldo), pero las vulnerabilidades son imposibles de prevenir en su totalidad, y si no fuera esta, el hacker podría haber encontrado otras debilidades".

Evidentemente hay que tener estas posibles situaciones en cuenta, pero esto no quiere decir que el cashless sea menos seguro que el efectivo. Es más, diríamos que incluso todo lo contrario ya que todo deja rastro y se podría realizar un seguimiento del "ladrón" hasta atraparlo.

Los pros son muchos más que los contra, ya que hablamos de sistemas que dan más opciones a los usuarios, que están muy demandados en la cultura de las compras actuales y que además son bastante seguros, aunque no lo demuestre este caso.

Descarga el último número
de nuestra revista