Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Botnet z inteligentnych kłódek? ;) Badacz zlokalizował dziurawe API
Co dopiero pisaliśmy o kłódce Tapplock, skonstruowanej prawdopodobnie według zasady 'security by marketing’ ;) – a tymczasem pojawiły się nowe rewelacje w tym samym produkcie.
Po pierwsze można było otrzymać dostęp do danych osobowych właściciela dowolnej kłódki – wystarczył id użytkownika (id są zwiększane o jeden :)
Po drugie – był dostęp do danych, które mogą otworzyć kłódkę (wskazane w oryginalnym badaniu) plus dokładna fizyczna lokalizacja ostatniego otwarcia kłódki. Można też było (bez wiedzy i zgody właściciela) wymusić dla każdego użytkownika w systemie „podzielenie się” kłódką.
Podejrzewamy, że to nie ostatni krok całej akcji – jak stwierdził autor aktualnego hacka na API – Vangelis Stykas – wygląda na to, że CTF trwa ;)
–ms