Andy Greenberg, een journalist voor het Amerikaanse magazine WIRED (dat zich richt op onderwerpen zoals technologie, cultuur, economie en politiek), nam samen met een beveiligingsonderzoeker het initiatief om aan te tonen dat vals spelen aan de pokertafel mogelijk kan worden gemaakt door automatische schudmachines te hacken.
Hun onderzoek bracht verschillende kwetsbaarheden aan het licht, onder meer bij de populaire schudmachine Deckmate 2.
Wat is een automatische schudmachine?
Een automatische schudmachine laat de dealer het werk van het schudden overnemen, waardoor wordt voorkomen dat werknemers kunnen samenspannen met klanten. Deze machine schudt de kaarten automatisch tijdens het delen, wat ze populair maakt in casino’s. Tegelijk hoeft de dealer deze taak niet meer zelf uit te voeren.
Het ontwerp vereist dat elke gerichte beweging tijdens het schudden wordt geëlimineerd, en tegenwoordig zijn de nieuwste schudmachines zelfs volledig computergestuurd. De onvoorspelbaarheid en willekeur van het schudden fascineert zowel spelers als casino’s. Automatische schudmachines zijn intussen een vertrouwd gezicht aan de speeltafel.
Onderzoek bewijst dat schudmachine kan worden gemanipuleerd
Journalist Andy Greenberg toont dit aan in zijn recent onderzoeksartikel, in samenwerking met beveiligingsonderzoeker Joseph Tartaro van IOActive, een bedrijf dat actief is op verschillende domeinen van computerbeveiliging. Samen slaagden ze erin een prototype te bouwen dat toegang gaf tot de interne camera van de schudmachine via een onbeveiligde USB-poort.
De camera is eigenlijk bedoeld om te controleren of alle 52 kaarten aanwezig zijn. Maar dit onderzoek bewijst dat de beelden ook de volgorde van de geschudde kaarten kunnen tonen, wat vals spelen inderdaad mogelijk maakt. Door een kleine module aan te sluiten op de USB-poort kan deze taak worden uitgevoerd; de volgorde wordt uitgelezen en via Bluetooth naar een smartphone verstuurd.
Joseph Tartaro:
“We wilden aantonen dat dit technisch mogelijk is, niet om het te misbruiken. Maar het toont wel aan dat de beveiliging van deze toestellen achterloopt op de realiteit van 2025.”
Ze testten hun onderzoek effectief
Ze brachten hun onderzoek in de praktijk en voerden een echte test uit. Maar dit gebeurde niet in een casino. Journalist Andy Greenberg ging zelf aan de slag, en hij is allesbehalve een ervaren pokerspeler.
Door signalen die hij van zijn partner ontving, wist hij echter welke kaarten eraan kwamen en dus ook wanneer hij moest passen als hij ging verliezen, en wanneer hij moest verhogen als hij wist dat hij kon winnen.
Tijdens zulke privéspellen is het risico op valsspelen reëel. Het is niet de speler die bedriegt — die in dit geval niet eens de regels hoeft te kennen — maar de technologie die het spel beheerst en uiteindelijk domineert. En in dit geval is er zelfs geen fysieke controle.
Hoe is dit überhaupt mogelijk?
Je zou verbaasd staan hoe eenvoudig het is om te valsspelen in een spel waar kennis van de regels zo cruciaal is. Hier volgt een kort overzicht van de methode.
- Toegang verkrijgen via USB-poort
De Deckmate 2 beschikt hierover voor onderhoud en firmware-updates. Eens er toegang is, kan iemand een minicomputer zoals een Raspberry Pi of een microcontroller aansluiten. Zo krijgt men toegang tot de interne processen van het toestel. - Interne camera dient normaal voor controle
Zijn alle 52 kaarten aanwezig in het deck? Daarvoor dient de camera, maar dit onderzoek bewijst dat het ook mogelijk is om de exacte volgorde te registreren. Het uitlezen van de camerabeelden via de USB-verbinding volstaat om de volgorde te bepalen. - Verzenden via Bluetooth naar smartphone
Een draadloze overdracht via Bluetooth naar een smartphone laat een speler toe onmiddellijk te anticiperen op het verloop van het spel, aangezien de kaartvolgorde gekend is. - Let op voor kwetsbaarheid
John Tartaro wijst erop dat het vooral belangrijk is om waakzaam te zijn bij oudere en tweedehands Deckmate-machines. Deze zijn bijzonder kwetsbaar, vooral tijdens onbeheerde privé- of thuisspellen. Reguliere casino’s volgen doorgaans firmware-updates op en voeren fysieke controles uit.
Light & Wonder heeft al gereageerd
Fabrikant Light & Wonder heeft inmiddels gereageerd en verklaard dat firmware-updates zijn doorgevoerd om de beveiliging te optimaliseren. De fabrikant stelt ook dat alle schudmachines in officiële casino’s up-to-date zijn en dat er geen bewijs is van vals spelen op deze manier.
Toch waarschuwt beveiligingsexpert John Tartaro:
“Eens een Deckmate tweedehands wordt verkocht of buiten de casinovloer terechtkomt, is het onmogelijk te garanderen dat de beveiliging intact blijft.”
Want dit onderzoek toont aan dat zelfs geavanceerde technologie binnen de casinosector kwetsbaar kan zijn voor misbruik. Hoewel casino’s de firmware-updates wel degelijk toepassen, blijven niet-gecontroleerde privéspellen een potentieel risico.
Benieuwd naar de video van dit onderzoek? Je kunt ze bekijken op het YouTube-kanaal van WIRED.