Botnet z inteligentnych kłódek? ;) Badacz zlokalizował dziurawe API

15 czerwca 2018, 20:29 | W biegu | 0 komentarzy
Tagi: , ,
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Co dopiero pisaliśmy o kłódce Tapplock, skonstruowanej prawdopodobnie według zasady 'security by marketing' ;) - a tymczasem pojawiły się nowe rewelacje w tym samym produkcie.

Po pierwsze można było otrzymać dostęp do danych osobowych właściciela dowolnej kłódki - wystarczył id użytkownika (id są zwiększane o jeden :)

API

Po drugie - był dostęp do danych, które mogą otworzyć kłódkę (wskazane w oryginalnym badaniu) plus dokładna fizyczna lokalizacja ostatniego otwarcia kłódki. Można też było (bez wiedzy i zgody właściciela) wymusić dla każdego użytkownika w systemie "podzielenie się" kłódką.

Podejrzewamy, że to nie ostatni krok całej akcji - jak stwierdził autor aktualnego hacka na API - Vangelis Stykas - wygląda na to, że CTF trwa ;)

--ms

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz