Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Zhackowali appkę, która kradła dane kart płatniczych. Dali alert dla potencjalnych ofiar.

26 stycznia 2023, 11:00 | W biegu | komentarze 2

Scammerzy przygotowali dość prostą appkę androidową, która pod pozorem super nagrody w postaci punktów lojalnościowych do pewnego programu, zbierała dane kart płatniczych.

Hackerzy najpierw zdekompilowali appkę, gdzie widać w którym miejscu znajduje się API, z którym komunikuje się appka. Widzicie /api/signup.php ?

Ten signup w sumie niewiele dawał, ale skłonił badaczy do zbadania innych ciekawych, ukrytych zasobów na serwerze. Np. panel administracyjny dla scammerów znajdował się w bardzo ukrytej ścieżce: /admin/

Czy pasowało admin/admin ? Nie, ale można było użyć najprostszego na świecie wstrzyknięcia SQL injection w postaci: ’ or '1’=’1

Otrzymując nim dostęp do zalogowanego panelu admina, a następnie przeglądać dane oscamowanych:

Na koniec hackerzy podmienili w panelu administracyjnym komunikat, który wyświetlany jest użytkownikom odpalającym scamową appkę:

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. 4aGość

    Nazwiska międzynarodowe w szkołach we Wrocławiu kradną regulacje prawne. Podstawy regulacji trzeba znać. Uwaga na szpit…..

    Odpowiedz
    • Confused

      Można po polskiemu?

      Odpowiedz

Odpowiedz