уязвимость приложение CBORD GET Mobile API
Студент был недоволен скоростью работы приложения и случайно понял, как его можно превратить в мастер-ключ.
Американский студент Эрик Джонсон (Erik Johnson) обнаружил уязвимость в студенческом приложении, которая позволила ему превратить программу в мастер-ключ, позволяющий открывать любую дверь в кампусе.
Приложение GET Mobile от компании CBORD играет роль своего рода электронного студенческого билета. С его помощью также можно оплачивать еду в столовой, заходить на студенческие мероприятия и открывать двери в комнатах общежития, лабораториях и пр. Однако приложение не пользовалось большой популярностью у студентов, в том числе у Джонсона, поскольку оно слишком долго загружалось и медленно работало. Поэтому Джонсон решил найти способ открывать дверь в свою комнату быстрее.
В процессе анализа сетевого трафика приложения студент понял, как воспроизвести сетевой запрос и открыть дверь с помощью одного касания к кнопке Shortcut на iPhone. Для этого Shortcut сначала должна отправить точное местоположение и запрос на открытие двери.
Однако Джонсон решил не останавливаться на достигнутом. Раз ему удалось открыть дверь в свою комнату без приложения, то можно ли таким образом открыть и другие двери?
Компания CBORD опубликовала список команд, доступных через ее API, которыми студенты могут управлять с помощью своих учетных данных. Однако здесь есть проблема: API не проверяет подлинность учетных данных. Другими словами, Джонсон или кто-либо еще с подключением к интернету может коммуницировать с API и пользоваться чужим аккаунтом, даже не зная пароль. API проверяет только уникальный ID студента, но он часто совпадает с выданным университетом идентификатором, публикуемы в открытых списках на университетских порталах.
Хотя для того, чтобы дверь открылась, студент должен находится рядом, Джонсону удалось обмануть API и заставить его «думать», будто он находится поблизости. Для этого он просто отправил назад координаты самого замка.
Джонсон попытался уведомить об уязвимости компании CBORD, но ее представители попросили его сообщить о проблеме через университет. Тем не менее, поскольку уязвимость очень легко проэксплуатировать, студент обратился к изданию TechCrunch с просьбой еще раз поговорить с CBORD. Проблема была исправлена 12 февраля, почти сразу после того, как издание связалось с разработчиком.