Привычные терминалы для оплаты Worldline Yomani XR, широко используемые в швейцарских магазинах и предприятиях обслуживания, обладали серьезной уязвимостью в системе безопасности. Исследователи обнаружили, что злоумышленник с физическим доступом к устройству может сравнительно просто получить полный контроль над системой менее чем за минуту. Несмотря на продуманную антивандальную конструкцию, включающую датчики вскрытия и автономную систему защиты, терминал имел незащищенный отладочный порт на задней панели.
При подключении через этот интерфейс устройство предоставляло root-доступ к операционной системе Linux без требования аутентификации. Для этого достаточно было ввести «root» в командной строке после запуска терминала. Анализ показал, что система использует двойную архитектуру защиты. Основная среда на базе ядра Linux 3.6 отвечает за сетевые функции и бизнес-логику, тогда как выделенный процессор управляет критическими компонентами — клавиатурой, дисплеем и кардридером. Хотя прямой доступ к защищенной зоне через отладочный интерфейс невозможен, компрометация основной системы позволяет внедрять вредоносный код, перехватывать передаваемые данные или нарушать процесс обновления программного обеспечения.
Производитель Worldline уже устранил проблему в обновленных версиях прошивки. Однако обнаруженный случай демонстрирует системную уязвимость — многие производители оставляют незащищенными сервисные интерфейсы, предназначенные для диагностики и технического обслуживания. Это указывает на необходимость комплексного подхода к безопасности, когда наряду с криптографической защитой и механической устойчивостью исключаются все потенциальные точки несанкционированного доступа, включая отладочные порты.
Найден невероятно простой и эффективный способ взлома любых нейросетей.