В торговых автоматах Argenta найден баг безлимитных средств

Олег Иванов 17 Октября 2018 - 16:20

...

В торговых автоматах Argenta найден баг безлимитных средств

Специалист в области безопасности обнаружил уязвимость в торговых автоматах, разрабатываемых популярным итальянским вендором Argenta. Устройства Argenta используются по всей стране для продажи разной продукции — от освежающих напитков до сигарет.

Уязвимые автоматы поддерживают технологии Bluetooth Low Energy (BLE) и Near Field Communication (NFC), которые позволяют подключаться к ним с помощью смартфона и оплачивать покупки, используя мобильное устройство.

В поисках бреши в безопасности эксперт Маттео Пизани, итальянский хакер и технический директор Remoria VR, декомпилировал мобильное приложение от Argenta. Именно это приложение позволяет смартфону подключиться к торговому автомату.

После анализа активности программы Пизани наткнулся на упоминания RushOrm, инструмента для Android, который маппингует классы Java в SQL-таблицах. Это значит, решил эксперт, что приложение работает с базами данных.

Исследователь вычислил, что приложение использует базу данных с именем «argenta.db». Пизани попробовал открыть БД на своем ноутбуке — она была защищена паролем. Изучив исходный код приложения, специалист обнаружил конфигурационный файл RushOrm.

Благодаря ему стало понятно — приложение использует IMEI телефона для ограничения доступа к базе данных. Сама БД содержала множество таблиц, но внимание Пизани привлекла «UserWallets», которая содержала изменяемое поле «walletCredit».

Значение этого поля определяет, сколько средств пользователь может потратить в автомате Argento. В итоге Пизани удалось увеличить сумму до 999 евро. Соответствующую картинку специалист прикрепил в качестве доказательства:

Более того, эксперт опубликовал видео, где подробно демонстрируется реализация атаки с использованием этой уязвимости:

Следующая главная новость »

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 02 Марта 2026 - 16:12

Соответствие законодательству РФ Общее

ИТ-компаниям объяснили порядок применения языковых ограничений с 1 марта

С 1 марта 2026 года в России начнут действовать ограничения на использование иностранных слов в информации для потребителей. Новые требования затронут и ИТ-компании, если они работают с физическими лицами. Суть изменений проста: вся информация для публичного ознакомления потребителей должна быть на русском языке.

Об этом участникам рынка рассказали на закрытом вебинаре ассоциации АРПП «Отечественный софт».

Иностранные слова допускаются, но только при обязательном равнозначном переводе, идентичном по смыслу, оформлению и размещению. То есть если где-то написано Sale или Open, рядом должно быть полноценное «Распродажа» или «Открыто», а не мелкая приписка в углу.

Требования распространяются на изготовителей, продавцов и исполнителей услуг, которые работают с гражданами, покупающими товары или услуги для личных нужд. B2B-сегмент и внутренняя коммуникация компаний под новые нормы не подпадают.

Под регулирование попадают вывески, указатели и таблички в местах обслуживания — например, Reception или Checkout. Впрочем, есть исключения: зарегистрированные товарные знаки, фирменные наименования, слова из нормативных словарей, а также случаи, предусмотренные техническими регламентами.

Для ИТ-бизнеса важный момент — формат работы. Если компания оказывает услуги физлицам, например настраивает или сопровождает программное обеспечение, требования её касаются. То же самое может относиться к SaaS-модели: в ряде судебных решений её трактуют как оказание услуг. А вот передача прав по лицензионному договору под действие закона не подпадает.

Отдельный вопрос — онлайн-среда. Формально закон ориентирован на офлайн-пространство, но разъяснения Роспотребнадзора допускают, что сайты могут приравниваться к общедоступным местам. Поэтому бизнесу советуют внимательно следить за дальнейшими официальными комментариями.

Эксперты рекомендуют компаниям уже сейчас провести аудит публичной информации: понять, подпадает ли она под новые требования, проверить возможные исключения и при необходимости добавить полноценный русский перевод. Иначе с весны можно столкнуться с претензиями со стороны контролирующих органов.

Знай своего врага: как работает киберразведка в 2026 году?
Регистрируйтесь на эфир!