Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Smartwatch dla dzieci – każdy mógł je lokalizować, zmieniać lokalizację, słuchać z dowolnego zakątka na świecie

16 kwietnia 2019, 14:59 | W biegu | komentarze 4

Wygląda to na klasyczny przykład wdrażania ciekawego produktu, z nieciekawym podejściem do bezpieczeństwa (czyli żadnym). Podatny sprzęt to australijski Tic Toc Track (w cenie $150 dolarów australijskich).

W skrócie, urządzenie łączy się z w zasadzie niezabezpieczonym API. Mając dowolne konto, mieliśmy jednocześnie dostęp do każdej metody API. Np. takiej pobierającej wszystkie dane właściciela (podobne żądanie daje jego ostatnie fizyczne lokalizacje):

GET /api//Users?$filter=(FamilyIdentifier%20eq%2034XX) HTTP/1.1
Host: tracker.tictoctrack.com
Connection: close
Accept: application/atomsvc+xml;q=0.8, application/json;odata=fullmetadata;q=0.7, application/json;q=0.5, */*;q=0.1
MaxDataServiceVersion: 3.0
DataServiceVersion: 3.0

Wystarczy tutaj zwykły ID użytkownika (który można iterować). Co więcej można zmieniać różne parametry użytkownika – korzystając z podobnych (autoryzacyjnych) problemów tego API. Np. można zmodyfikować numer telefonu, który jest autoryzowany do wykonania połączenia telefonicznego do zegarka (można więc słuchać dziecko).

Skąd biorą się tego typu problemy? API wykorzystywane przez aplikację mobilną czy inne inteligentne urządzenie nie jest najczęściej bezpośrednio dostępne dla użytkownika. Stąd też być może podejście firm sprowadzające się do twierdzenia: „e, nikt tam się nie dostanie’. Jeśli jednak ktoś zlokalizuje API – często mamy zagładę.

–ms

 

 

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. bubba

    ’ Jeśli jednak ktoś zlokalizuje API’ jakieś info jak zostało zlokalizowane ?

    Odpowiedz
    • Prawdodpobnie przez analizę samego zegarka

      Odpowiedz
  2. reader

    Chciałabym zapytać – co stało się z artykułem o badaniu podatności firmware’u routerów TP-Linka? Czy można jakoś uzyskać jeszcze do niego dostęp…? :)

    Odpowiedz
    • autor przygotowuje aktualizacje, a że okres urlopowy (u nas też) to jest jak jest … ;)

      Odpowiedz

Odpowiedz