Falla en terminal de pago suizo: Firmware sin cifrar y shell root accesible
2025-06-01
Un investigador de seguridad realizó ingeniería inversa de un terminal de pago Worldline Yomani XR ampliamente utilizado en Suiza, descubriendo firmware sin cifrar y un shell root accesible públicamente. A pesar de la protección física contra manipulaciones, el puerto de depuración es accesible externamente, permitiendo a los atacantes obtener acceso root e implantar malware en 30 segundos. Sin embargo, un análisis más profundo reveló que el sistema Linux no maneja datos sensibles (como los detalles de la tarjeta); un procesador separado, cifrado y firmado, maneja las funciones de seguridad. Si bien es un gran descuido de ingeniería de software, el riesgo directo puede ser menor del que se temía inicialmente.