Zhackował maszynę do napojów – nieskończona liczba kredytów

16 października 2018, 13:50 | W biegu | komentarze 3
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

TLDR: appka mobilna umożliwiająca płatność NFC przechowywała liczbę kredytów w lokalnej bazie SQLite.

Baza oczywiście była zaszyfrowana (:P), ale po krótkiej analizie okazało się że jest to numer IMEI telefonu. Po zdeszyfrowaniu była już pełna kontrola nad kontem:

sqlite

Firma tworząca system została poinformowana o problemie. A wnioski mamy tu cztery:

  • Jeśli nie pomyślimy o bezpiecznej architekturze systemu, późniejsze zmiany mogą być bardzo kosztowne (mamy tu na myśli zmianę architektury…)
  • Nowe nie oznacza bezpieczniejsze
  • W 2018 roku cały czas mamy dużo osłupiających wręcz błędów bezpieczeństwa w nowych systemach
  • „Zaszyfrowany” != „Bezpieczny” (tu patrzcie np. na cały czas pokutującą plotkę – masz certyfikat SSL – jesteś bezpieczny).
Pamiętajcie żeby tego typu informacje wykorzystywać tylko w etyczny sposób.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ciekawy błąd, bo tak naprawdę nie musieli wcale trafić na kogoś, kto zanalizuje wszystko dokładnie. Wystarczyłaby osoba, która przywróciłaby telefon (wszystkie pliki) z backupu i skojarzy fakty. ;-)

    Odpowiedz
  2. hubertus

    Nie maszynę tylko partacko napisaną aplikację.

    Odpowiedz
    • Samą aplikację to nic by nie dało. Maszyna na ślepo akceptuje dane z aplikacji – więc finalnie to zhackował maszynę (o to chodziło w całym zadaniu :)

      Odpowiedz

Odpowiedz