Reverse Engineering

[Video] Exploring and Exploiting an Android “Smart POS” Payment Terminal

26 ottobre 2024Articolo disponibile solo in inglese 🇬🇧

In this talk from No Hat 2024, I go through my exploration and reverse engineering of one of the most popular “Smart POS” credit card terminals currently in use worldwide. I present the research process that led me to the discovery of multiple software vulnerabilities, ultimately granting me persistent root access to the device’s operating system. …

Analisi dei biglietti magnetici usati per i trasporti in Lombardia

4 gennaio 2022

Una banda magnetica su un biglietto usa e getta potrebbe sembrare una cosa piuttosto noiosa e poco degna di essere studiata. Ogni tanto però la curiosità prevale, una scoperta tira l’altra e in men che non si dica ci si trova a viaggiare non per lavoro o per diletto, ma per accumulare biglietti da analizzare. Ecco tutto ciò che ho scoperto sul mondo che c’è dietro. …

SPID e Google Authenticator: quando l'interoperabilità viene ostacolata di proposito

9 marzo 2021

La maggior parte dei provider SPID supporta l’autenticazione a due fattori tramite un’app che genera codici OTP. Ogni provider ha la propria app, incompatibile con le app degli altri provider e con quelle “universali” come Google Authenticator. Peccato che, dietro le quinte, tutte le app usino lo stesso algoritmo e che l’incompatibilità sia puramente artificiale. …

Reverse engineering dell'app di Trenitalia

24 settembre 2018

Trenitalia ha da poco rilasciato la nuova versione della sua app per iOS e Android. Avendo già avuto a che fare con i meravigliosi sistemi informatici delle Ferrovie dello Stato per lo sviluppo di TrenItBot e per altri progetti, una sbirciata anche qui non poteva mancare. …