Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Botnet z inteligentnych kłódek? ;) Badacz zlokalizował dziurawe API

15 czerwca 2018, 20:29 | W biegu | 0 komentarzy
Tagi: , ,

Co dopiero pisaliśmy o kłódce Tapplock, skonstruowanej prawdopodobnie według zasady 'security by marketing’ ;) – a tymczasem pojawiły się nowe rewelacje w tym samym produkcie.

Po pierwsze można było otrzymać dostęp do danych osobowych właściciela dowolnej kłódki – wystarczył id użytkownika (id są zwiększane o jeden :)

API

Po drugie – był dostęp do danych, które mogą otworzyć kłódkę (wskazane w oryginalnym badaniu) plus dokładna fizyczna lokalizacja ostatniego otwarcia kłódki. Można też było (bez wiedzy i zgody właściciela) wymusić dla każdego użytkownika w systemie „podzielenie się” kłódką.

Podejrzewamy, że to nie ostatni krok całej akcji – jak stwierdził autor aktualnego hacka na API – Vangelis Stykas – wygląda na to, że CTF trwa ;)

–ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz