スイスの決済端末の脆弱性:暗号化されていないファームウェアとアクセス可能なrootシェル
2025-06-01
セキュリティ研究者は、スイスで広く使用されているWorldline Yomani XR決済端末のリバースエンジニアリングを行い、暗号化されていないファームウェアと、公開アクセス可能なrootシェルを発見しました。物理的な改ざん防止策があるにもかかわらず、デバッグポートは外部からアクセス可能であり、攻撃者は30秒以内にrootアクセス権を取得し、マルウェアを展開できます。しかし、詳細な分析により、Linuxシステムはカード情報などの機密データを取り扱っておらず、独立した暗号化および署名されたプロセッサがセキュリティ機能を処理していることが明らかになりました。ソフトウェアエンジニアリングにおける重大な見落としではありますが、直接的なリスクは当初懸念されていたほど大きくない可能性があります。