Простой баг в приложении превратил его в ключ от всех дверей в студенческом общежитии
Американский студент Эрик Джонсон (Erik Johnson) обнаружил уязвимость в студенческом приложении, которая позволила ему превратить программу в мастер-ключ, позволяющий открывать любую дверь в кампусе, сообщает SecurityLab.
Приложение GET Mobile от компании CBORD играет роль своего рода электронного студенческого билета. С его помощью также можно оплачивать еду в столовой, заходить на студенческие мероприятия и открывать двери в комнатах общежития, лабораториях и пр. Однако приложение не пользовалось большой популярностью у студентов, в том числе у Джонсона, поскольку оно слишком долго загружалось и медленно работало. Поэтому Джонсон решил найти способ открывать дверь в свою комнату быстрее.
В процессе анализа сетевого трафика приложения студент понял, как воспроизвести сетевой запрос и открыть дверь с помощью одного касания к кнопке Shortcut на iPhone. Для этого Shortcut сначала должна отправить точное местоположение и запрос на открытие двери.
Однако Джонсон решил не останавливаться на достигнутом. Раз ему удалось открыть дверь в свою комнату без приложения, то можно ли таким образом открыть и другие двери?
Компания CBORD опубликовала список команд, доступных через ее API, которыми студенты могут управлять с помощью своих учетных данных. Однако здесь есть проблема: API не проверяет подлинность учетных данных. Другими словами, Джонсон или кто-либо еще с подключением к интернету может коммуницировать с API и пользоваться чужим аккаунтом, даже не зная пароль. API проверяет только уникальный ID студента, но он часто совпадает с выданным университетом идентификатором, публикуемы в открытых списках на университетских порталах.
Хотя для того, чтобы дверь открылась, студент должен находится рядом, Джонсону удалось обмануть API и заставить его «думать», будто он находится поблизости. Для этого он просто отправил назад координаты самого замка.
Джонсон попытался уведомить об уязвимости компании CBORD, но ее представители попросили его сообщить о проблеме через университет. Тем не менее, поскольку уязвимость очень легко проэксплуатировать, студент обратился к изданию TechCrunch с просьбой еще раз поговорить с CBORD. Проблема была исправлена 12 февраля, почти сразу после того, как издание связалось с разработчиком.
похожие материалы
Пассворк стал первым менеджером паролей в России c сертификацией ФСТЭК
Компания Пассворк объявила о получении сертификата ФСТЭК России № 5063 по 4-му уровню доверия.
«Лаборатория Касперского» и hh.ru выяснили, как компании выстраивают киберзащиту и обучают сотрудников
Российские компании планомерно выстраивают системный подход к обучению сотрудников кибербезопасности.
Доход обещают пассивный, а списание вполне реальное
МВД предупредило о мошеннической схеме с «пассивным заработком» на VPS-серверах.
Дешевле агрегатора, но без защиты: «серое» такси ушло в чаты на миллионы пользователей
В России за два года почти втрое выросло число чатов, групп и сообществ с нелегальными и «серыми» такси.
Разработчики говорят, что ИИ помогает работать быстрее, но оценки могут быть завышены
Специалисты METR опубликовали исследование о том, как технические специалисты оценивают влияние ИИ-инструментов на свою продуктивность.
Больше половины банков используют устаревшие ИТ-системы
Согласно исследованию RED Security, в большинстве отечественных банков существуют системные проблемы с кибербезопасностью, создающие риски для бизнеса на фоне растущей активности хакеров и мошенников.
Эксперт компании «Газинформсервис»: «Принято считать, что кибербезопасность глобальна, но хакеры специализируются на конкретных странах»
Исследователи обнаружили, что новый банковский троян TCLBanker способен самостоятельно распространяться по принципу сетевого червя как через один из мессенджеров, так и через почтовый клиент Microsoft Outlook, рассылая фишинговые сообщения от имени заражённых пользователей.
«АйТи Бастион» присоединился к Ассоциации РУССОФТ
Российский разработчик решений в области защиты привилегированного доступа и автоматизации «АйТи Бастион» вошел в Ассоциацию разработчиков программного обеспечения РУССОФТ — одному из крупнейших объединений ИТ-компаний страны, участвующему в развитии отечественной ИТ-индустрии и продвижении российских технологий на внутреннем и зарубежных рынках.
Российским разработчикам рекомендуют переходить с GitHub на российские платформы
Депутат Госдумы по информационной политике Антон Горелкин заявил, что российским разработчикам стоит переносить проекты с GitHub в другие репозитории.
IV Форум «Технологии доверенного искусственного интеллекта»
В Москве 13 мая проходит IV Форум «Технологии доверенного искусственного интеллекта» — авторитетная площадка по научным, прикладным и законодательным аспектам разработки и применения решений на базе ИИ.