Je crois qu’il sous estime la faille qu’il vient de trouver. Il est robot, ok, ce n’est pas la partie la plus critique mais évidemment qu’elle ne sert pas a rien. Si c’est "juste réseau " comme il dit, cela voudrait dire qu’il pourrait envoyer la transaction sur son serveur perso… à tout hasard.
Dans tous les cas c’est sûrement exploitable il reste à trouver comment.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
L'article dit que la transaction monétique se fait sur un autre SOC. Si la transaction est chiffrée (ça peut être avec une bête clé publique PGP) avant d'être envoyée, même si tu la captures depuis le Linux qui ne sert finalement que de passe-plat, tu as peu de chance de réussir à casser la clé avant que la carte bancaire expire (2 ou 3 ans) ou que la clé privée expire (ça dépend du cas d'usage, mais PCI-DSS impose de le faire "fréquemment").
Toutefois, je te rejoins, le fait que le shell root soit ouvert comme ça laisse penser que les protections vendues ne sont peut-être pas tout à fait en place du côté du matos monétique non plus :-/.
# root mais pas grave?
Posté par abriotde (site web personnel, Mastodon) . Évalué à 1 (+1/-1).
Je crois qu’il sous estime la faille qu’il vient de trouver. Il est robot, ok, ce n’est pas la partie la plus critique mais évidemment qu’elle ne sert pas a rien. Si c’est "juste réseau " comme il dit, cela voudrait dire qu’il pourrait envoyer la transaction sur son serveur perso… à tout hasard.
Dans tous les cas c’est sûrement exploitable il reste à trouver comment.
Sous licence Creative common. Lisez, copiez, modifiez faites en ce que vous voulez.
[^] # Re: root mais pas grave?
Posté par cg . Évalué à 2 (+0/-0).
L'article dit que la transaction monétique se fait sur un autre SOC. Si la transaction est chiffrée (ça peut être avec une bête clé publique PGP) avant d'être envoyée, même si tu la captures depuis le Linux qui ne sert finalement que de passe-plat, tu as peu de chance de réussir à casser la clé avant que la carte bancaire expire (2 ou 3 ans) ou que la clé privée expire (ça dépend du cas d'usage, mais PCI-DSS impose de le faire "fréquemment").
Toutefois, je te rejoins, le fait que le shell root soit ouvert comme ça laisse penser que les protections vendues ne sont peut-être pas tout à fait en place du côté du matos monétique non plus :-/.
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.