Контакты
Подписка
Контакты
Подписка
МЕНЮ
Контакты
Подписка

Ренди Вестергрен нашел способ взломать систему подсветки билбордов

Ренди Вестергрен нашел способ взломать систему подсветки билбордов

Ренди Вестергрен нашел способ взломать систему подсветки билбордов


07.12.2015



 

Прошлым летом ИБ-эксперт Ренди Вестергрен (Randy Westergren) попытался разобраться, каким образом работает контроль систем подсветки рекламных билбордов. Он обнаружил приложение SmartLink, которое используется для мониторинга этих систем и управления ими. Приложение создано компанией OutdoorLink, которая предоставляет рекламным компаниям услуги по контролю над потреблением энергии. Вестергрен пришел к выводу, что SmartLink сложно назвать защищенным инструментом.

Приложение компании OutdoorLink было скачано более 50 000 раз, то есть оно пользуется определенной популярностью в узких кругах. Проведя анализ приложения, исследователь выяснил, что механизм аутентификации пользователя можно с легкостью обойти. А это позволит атакующему получить доступ к данным клиентов SmartLink.

Также Вестергрен обнаружил, что мобильное API использует для передачи данных HTTP, так что вся информация в принципе находится под угрозой. Потенциальный хакер с легкостью может осуществить атаку типа man-in-the-middle. Более того, одна из доступных директорий содержит файлы с исходным кодом самого API и логи, в которых хранятся все данные о сеансах пользователя, включая его логины и пароли в виде простого текста.

"Похоже, компания OutdoorLink нарушила все возможные правила безопасности и оставила своих клиентов беззащитными перед лицом атак. Хакер легко может реализовать собственный "adblock для шоссе", отключив подсветку рекламных щитов в системе", — пишет Вестергрен в своем блоге.

Исследователь сообщил OutdoorLink о проблеме еще в июле 2015 года, и исправления были выпущены в несколько этапов, в последующие несколько месяцев. Проблему с HTTP устранили в середине августа, SmartLink для Android исправили в конце августа. Исправленная версия приложения SmartLink для iOS появилась а App Store только в начале ноября текущего года.

Компания поблагодарила Вестергрена за проделанную работу и сообщила, что фактических случаев эксплуатации брешей замечено не было. Также представители OutdoorLink подчеркивают, что проблемы не коснулись веб-сайта компании, а именно сайт выступает основным интерфейсом для работы с системой SmartLink.

Источник:
Хакер

Контакты
 
Подписка

Мы в соцсетях

Copyright © 2018-2022, ООО "ГРОТЕК"