Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Badacz: można zdalnie uruchomić alarm na wszystkich elektrycznych hulajnogach w mieście. Bird: to minimalny problem

09 października 2019, 18:45 | W biegu | komentarze 2

Ciekawa analiza aplikacji mobilnej do obsługi elektrycznych hulajnóg, czy dokładniej API mobilnego oferowanego przez firmę Bird. Dostęp do API nie jest jakoś specjalnie zabezpieczony od strony mobilnej (np. nie ma tutaj pinningu certyfikatów SSL). A korzystając z jednej funkcji API można np. bez problemu włączać / wyłączać alarm dźwiękowy (i świetlny) na niemal dowolnej hulajnodze:

Using this API one could imagine that entire cities of Bird scooters could be set off at once.

Bird API

W podobny sposób można zarezerwować dowolną hulajnogę (bez skanowania jej kodu QR). Bird został powiadomiony o znaleziskach, ale stwierdził, że nie jest to na tyle poważne żeby cokolwiek zmieniać w działaniu API. Temat w każdym razie wydaje się być ciekawy z punktu widzenia bezpieczeństwa – jakiś czas temu informowaliśmy o możliwości zdalnego sterowania hulajnogami Xiaomi bez uwierzytelnienia.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Mateusz

    To dlatego ostatnio sporo hulajnóg w Warszawie świeciło!

    Odpowiedz
    • zero one

      Świeciły dlatego że w ramach cięcia kosztów ostatnie ich partie powstały w Czarnobylu na Ukrainie.

      Podobno jeśli zostanie wydany S.T.A.L.K.E.R. 2 ta fabryka ma nawiązać współpracę z jego producentem celem wydania specjalnej linii: „Hulaj-noga Czernobylskaja”.
      ;-E

      Odpowiedz

Odpowiedz