Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Zhackował maszynę do napojów – nieskończona liczba kredytów
TLDR: appka mobilna umożliwiająca płatność NFC przechowywała liczbę kredytów w lokalnej bazie SQLite.
Baza oczywiście była zaszyfrowana (:P), ale po krótkiej analizie okazało się że jest to numer IMEI telefonu. Po zdeszyfrowaniu była już pełna kontrola nad kontem:
sqlite
Firma tworząca system została poinformowana o problemie. A wnioski mamy tu cztery:
- Jeśli nie pomyślimy o bezpiecznej architekturze systemu, późniejsze zmiany mogą być bardzo kosztowne (mamy tu na myśli zmianę architektury…)
- Nowe nie oznacza bezpieczniejsze
- W 2018 roku cały czas mamy dużo osłupiających wręcz błędów bezpieczeństwa w nowych systemach
- „Zaszyfrowany” != „Bezpieczny” (tu patrzcie np. na cały czas pokutującą plotkę – masz certyfikat SSL – jesteś bezpieczny).
Pamiętajcie żeby tego typu informacje wykorzystywać tylko w etyczny sposób.
–ms
Ciekawy błąd, bo tak naprawdę nie musieli wcale trafić na kogoś, kto zanalizuje wszystko dokładnie. Wystarczyłaby osoba, która przywróciłaby telefon (wszystkie pliki) z backupu i skojarzy fakty. ;-)
Nie maszynę tylko partacko napisaną aplikację.
Samą aplikację to nic by nie dało. Maszyna na ślepo akceptuje dane z aplikacji – więc finalnie to zhackował maszynę (o to chodziło w całym zadaniu :)