Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Smartwatch dla dzieci – każdy mógł je lokalizować, zmieniać lokalizację, słuchać z dowolnego zakątka na świecie
Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich).
W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie dane właściciela (podobne żądanie daje jego ostatnie fizyczne lokalizacje):
Host: tracker.tictoctrack.com
Connection: close
Accept: application/atomsvc+xml;q=0.8, application/json;odata=fullmetadata;q=0.7, application/json;q=0.5, */*;q=0.1
MaxDataServiceVersion: 3.0
DataServiceVersion: 3.0
Wystarczy tutaj zwykły ID użytkownika (który można iterować). Co więcej można zmieniać różne parametry użytkownika – korzystając z podobnych (autoryzacyjnych) problemów tego API. Np. można zmodyfikować numer telefonu, który jest autoryzowany do wykonania połączenia telefonicznego do zegarka (można więc słuchać dziecko).
Skąd biorą się tego typu problemy? API wykorzystywane przez aplikację mobilną czy inne inteligentne urządzenie nie jest najczęściej bezpośrednio dostępne dla użytkownika. Stąd też być może podejście firm sprowadzające się do twierdzenia: „e, nikt tam się nie dostanie’. Jeśli jednak ktoś zlokalizuje API – często mamy zagładę.
–ms
’ Jeśli jednak ktoś zlokalizuje API’ jakieś info jak zostało zlokalizowane ?
Prawdodpobnie przez analizę samego zegarka
Chciałabym zapytać – co stało się z artykułem o badaniu podatności firmware’u routerów TP-Linka? Czy można jakoś uzyskać jeszcze do niego dostęp…? :)
autor przygotowuje aktualizacje, a że okres urlopowy (u nas też) to jest jak jest … ;)