Kiwiconニュージーランド人は、ハッカー2人組が破った粗悪なアルゴリズムのおかげで、期限のない40セントの燃料割引券を独自に印刷できるようになった。
カウントダウン社が開発したアルゴリズムは、国営エネルギー会社Zが運営するガソリンスタンドに影響を与え、さまざまなスーパーマーケットで買い物をする消費者へのインセンティブとして設計されている。
カウントダウン社はバーコードの再利用のための「技術的解決策」を開発したと述べているが、これが新しいコードを自由に生成できる欠陥を解消するかどうかは不明であり、実現する可能性は低いと思われる。
ガソリンスタンドは以前、オンラインでコードが共有されるのを防ぐため、ポンプでのバーコード手動入力を無効にしていたが、研究者らは、欠陥を修正するにはアルゴリズムを書き直す必要があると述べている。
匿名を希望した2人の研究者は、未公開のAndroidアプリ、バーコードプリンター、さらにはTシャツなど、さまざまなプラットフォームで割引コードを生成した。
アルゴリズムが割引とどのように関係しているか。画像:Darren Pauli / The Register。
先月開かれたキウィコン・セキュリティ会議でのデモでは、スマートウォッチのアプリケーションがボタンをクリックするだけでコードを発行し、それを給油機でスキャンすると1リットルあたり最大40セントの割引が受けられることを2人は実演した。
彼らは、有効な割引を吐き出すバーコード プリンターを披露し、操作されたコードが印刷された T シャツをスキャンすることでショーマンシップのデモンストレーションを終えました。
2人はウェリントンのセント・ジェームズ劇場内の巨大スクリーンにバーコード計画を映し出し、拍手喝采する代表者たちに明白な弱点を見つけるよう指示した。
「Excelでこれらのコードをじっと見ていると、ちょっとしたパターンに気づき始めます」とある人は言う。「ここで何が起こっているのか、なんとなく分かります。暗号のようなものは一切ありません」
「彼らがやっていることは、x から 50 を引いて割引するだけです。
それらは完全に保護されておらず、どの部分にも独自の点は何もありません。」
複数の治安関係者は記者に対し、2015年12月のデモ以前からこの割引制度を知っており、利用していたと語った。
バーコード生成アプリ(上)とバーコードプリンター。画像:Darren Pauli / The Register
2人は、ポンプのコードは使っていないとし、窃盗とみなされる可能性が高いため他の人にも同様のことをするよう促したが、そのコードは小売店で提供されている正規のバーコードと同一だと述べている。
出力が負になるようにアルゴリズムをさらに操作すると、ガソリンスタンドのコンピュータに対するサービス拒否攻撃につながる可能性があります。
ガソリン販売業者Z社は2社に対し、「当社から不正利用をしていない大多数の顧客」に対しては割引コードの受け入れを継続すると述べ、個別のサイトでこの機能を無効にすることもできると指摘した。
カウントダウン社は2人に対し、最終的には固有のコードに移行する予定だと伝えた。
コードを改変するには粘着テープで十分であり、T シャツのコードは再利用できます。
研究者らはVulture Southに対し、問題はZではなくアルゴリズムの設計にあると語った。彼らは講演に先立ち、Zに脆弱性について通知して協力していた。
カウントダウンは、ガソリンスタンドの運営者は「セルフサービスポンプの定期的な監視」を通じて「異常な活動」を検知できると述べた。®
