Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Badacz: można zdalnie uruchomić alarm na wszystkich elektrycznych hulajnogach w mieście. Bird: to minimalny problem
Ciekawa analiza aplikacji mobilnej do obsługi elektrycznych hulajnóg, czy dokładniej API mobilnego oferowanego przez firmę Bird. Dostęp do API nie jest jakoś specjalnie zabezpieczony od strony mobilnej (np. nie ma tutaj pinningu certyfikatów SSL). A korzystając z jednej funkcji API można np. bez problemu włączać / wyłączać alarm dźwiękowy (i świetlny) na niemal dowolnej hulajnodze:
Using this API one could imagine that entire cities of Bird scooters could be set off at once.
W podobny sposób można zarezerwować dowolną hulajnogę (bez skanowania jej kodu QR). Bird został powiadomiony o znaleziskach, ale stwierdził, że nie jest to na tyle poważne żeby cokolwiek zmieniać w działaniu API. Temat w każdym razie wydaje się być ciekawy z punktu widzenia bezpieczeństwa – jakiś czas temu informowaliśmy o możliwości zdalnego sterowania hulajnogami Xiaomi bez uwierzytelnienia.
–ms
To dlatego ostatnio sporo hulajnóg w Warszawie świeciło!
Świeciły dlatego że w ramach cięcia kosztów ostatnie ich partie powstały w Czarnobylu na Ukrainie.
Podobno jeśli zostanie wydany S.T.A.L.K.E.R. 2 ta fabryka ma nawiązać współpracę z jego producentem celem wydania specjalnej linii: „Hulaj-noga Czernobylskaja”.
;-E