Nie zawsze chodzi o miliony. Czasem wystarczy darmowe piwo by złamać zabezpieczenia
Darmowe piwo to marzenie wielu, zwłaszcza w piątkowe popołudnie u schyłku lata. Zdolny haker jest w stanie sobie to zapewnić. Polak przedstawiający się w Sieci jako Kuba Gretzky obszedł zabezpieczenia jednej z aplikacji programu lojalnościowego i zapewnił sobie nieograniczoną dostawę chmielowego napoju w lokalach. Można powiedzieć, że zdobył jeden ze Świętych Graali ludzkości :-).
Kuba szczegółowo opisał swoje działania, ale nie podał, z jakiej konkretnie aplikacji korzystał i w jakim mieście cieszył się darmowym piwem (oraz czy było warto). Wiemy jedynie, że wykorzystał do tego bezprzewodowe „boje” firmy Estimote, co zawęża wybór. Na blogu znalazły się też propozycje zabezpieczeń.
System lojalnościowy, który złamał Kuba, pozwalał wielu barom o restauracjom przyznawać punkty za zakupy, a następnie wymieniać je na drobne nagrody, jak lunch albo piwo. By zweryfikować odwiedzenie restauracji użytkownik musi wprowadzić PIN na telefonie, zbliżyć się do zamontowanego w lokalu nadajnika i się „zameldować” na miejscu. Okazało się, że udawanie tego meldowania nie jest trudne.
Kuba zainteresował się zabezpieczeniami, jakimi obłożone zostały boje i system przyznawania punktów. Wykorzystał szczegółową dokumentację, dostarczoną przez firmę Estomote, dowiedział się, jakie informacje są przesyłane podczas odwiedzania restauracji i jaki zasięg mają nadajniki (70 metrów). Kuba przygotował sobie aplikację do odczytywania sygnałów z beaconów, laptopa z Fiddlerem (sniffer) i ruszył na łowy.
Okazało się, że złamanie zabezpieczeń nie będzie trywialne, ale nie jest niemożliwe. Przede wszystkim transakcja wymaga podania PIN-u i blokuje użytkownika po kilku nieudanych próbach logowania. Po odwiedzeniu trzech restauracji i odrobinie zabawy z przekierowywaniem ruchu udało mu się zdobyć kilka prawdziwych PIN-ów, które wykorzystał w dalszych fazach ataku. Dowiedział się też, że klucze autoryzacji w istocie są przesyłane bezprzewodowo, co interesowało go najbardziej.
Opracowana przez niego metoda zdobywania punktów za darmo w uproszczeniu wymaga przejścia się do restauracji, odczytania UUID i danych autoryzacji beaconu, a następnie modyfikacji transmisji między aplikacją i serwerami programu lojalnościowego. Na koncie użytkownika pojawią się punkty, które można wymienić na darmowe piwo, bez jedzenia obiadu w restauracji.
Niektórzy mówią, że jeśli kraść, to miliony, a jeśli gwałcić, to księżniczki. Rzeczywiście są hakerzy, którzy nawet nie schylą się po kilkaset dolarów, nie mówiąc już o darmowym piwku. To jednak nie oznacza, że nie warto zabezpieczać mniejszych transakcji, zwłaszcza gdy stawką jest piwo.
