NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka

Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!

Bezpłatne szkolenie: AI dla admina. Top 5 zadań, które zrobisz szybciej

Najnowsza książka sekuraka!

Książka o zabezpieczaniu Linux

Zhackował maszynę do napojów – nieskończona liczba kredytów

16 października 2018, 13:50 | W biegu | komentarze 3
Tagi: , , , ,

TLDR: appka mobilna umożliwiająca płatność NFC przechowywała liczbę kredytów w lokalnej bazie SQLite.

Baza oczywiście była zaszyfrowana (:P), ale po krótkiej analizie okazało się że jest to numer IMEI telefonu. Po zdeszyfrowaniu była już pełna kontrola nad kontem:

sqlite

Firma tworząca system została poinformowana o problemie. A wnioski mamy tu cztery:

  • Jeśli nie pomyślimy o bezpiecznej architekturze systemu, późniejsze zmiany mogą być bardzo kosztowne (mamy tu na myśli zmianę architektury…)
  • Nowe nie oznacza bezpieczniejsze
  • W 2018 roku cały czas mamy dużo osłupiających wręcz błędów bezpieczeństwa w nowych systemach
  • “Zaszyfrowany” != “Bezpieczny” (tu patrzcie np. na cały czas pokutującą plotkę – masz certyfikat SSL – jesteś bezpieczny).
Pamiętajcie żeby tego typu informacje wykorzystywać tylko w etyczny sposób.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. rozie
    16 października, 2018 | 6:19 pm

    Ciekawy błąd, bo tak naprawdę nie musieli wcale trafić na kogoś, kto zanalizuje wszystko dokładnie. Wystarczyłaby osoba, która przywróciłaby telefon (wszystkie pliki) z backupu i skojarzy fakty. ;-)

    Odpowiedz
  2. hubertus
    16 października, 2018 | 9:14 pm

    Nie maszynę tylko partacko napisaną aplikację.

    Odpowiedz
    • sekurak
      16 października, 2018 | 10:56 pm

      Samą aplikację to nic by nie dało. Maszyna na ślepo akceptuje dane z aplikacji – więc finalnie to zhackował maszynę (o to chodziło w całym zadaniu :)

      Odpowiedz

Odpowiedz