r   e   k   l   a   m   a
r   e   k   l   a   m   a

Uber chowa mnożniki, ale luka w aplikacji umożliwia darmowe przejazdy

Strona główna AktualnościBEZPIECZEŃSTWO

Można było się spodziewać, że wraz z popularyzacją Ubera, znajdą się chętni by nieco nagiąć zasady korzystania z usługi. Na przykład dzięki podatnościom oficjalnej aplikacji mobilnej. Z drugiej strony sam Uber nie pozostaje dłużny swoim klientom i z dużym dystansem zaczyna podchodzić do zagadnienia transparentności naliczania opłat.

Keygen do Ubera

Bohaterem pierwszej historii jest Egipcjanin, Mohamed M. Fouad, określający siebie mianem niezależnego eksperta ds. bezpieczeństwa. Pracował on między innymi z Microsoftem, ESET-em czy BitDefenderem. Fouad opublikował na swoim blogu wpis, w którym opisuje sposób na wykorzystanie luki w aplikacji w celu zagwarantowania sobie przejazdów o wartości nawet… 25 tys. dolarów.

Jest to możliwe z wykorzystaniem kodów rabatowych. Każdy użytkownik utrzymuje taki kod, a gdy się nim podzieli, to sam otrzymuje nawet 45 zł na przejazdy w prezencie. Ponadto również pierwszy przejazd osoby, która otrzymała kod jest promocyjny. Struktura kodu prezentuje się następująco: uber01234. Taki sposób generowania, jak twierdzi Fouad, nie został zabezpieczony przed atakiem brute force.

r   e   k   l   a   m   a

A to oznacza, że można napisać generator kodów i w zautomatyzowanym procesie walidować je. Po przeprowadzonym przez Egipcjanina eksperymencie okazało się, że jego program wygenerował kilka poprawnych kodów, których wartość osiągała aż od 5 do 25 tysięcy dolarów! Jak przystało na białokapelusznika, Fouad poinformował Ubera o sprawie…

…i zapewnie nie lada zdziwił się, gdy okazało się, że nie jest on pierwszą osobą, która zgłosiła wspomnianą podatność. Wszyscy jednak otrzymali równie zaskakującą odpowiedź od Ubera w postaci odmowy rozpatrzenia zgłoszenia błędu. Według programistów, podatność ma bowiem charakter oszustwa, a nie nieodpowiednich zabezpieczeń generatora kodu przed atakiem brute force.

No math, no problem

Nie mniej interesujące informacje dochodzą zza Oceanu, gdzie – jak wiadomo – wszelkie nowości w Uberze trafiają jako pierwsze. Otóż wygląda na to, że korporacja przyjęła bardzo odważne założenie, które można interpretować jako maskowanie przed użytkownikiem sposobu, w jaki obliczana jest opłata za przejazd.

Jak pisze The Verge, w Uberze na tapecie jest w tej chwili slogan „brak matmy, brak kłopotów”. W związku z tym, po zamówieniu przejazdu, użytkownik otrzyma przewidywaną jego cenę, jednak nie zostanie poinformowany o mnożnikach. Widoczny będzie jedynie komunikat podwyższone zapotrzebowanie.

Jak wiadomo, obliczanie opłat za przejazd Uberem jest kwestią dynamiczną i podlega wielu czynnikom: jest to między innymi stan naładowania akumulatora w smartfonie (zdesperowany będzie gotowy zapłacić więcej). Ponadto dochodzi tutaj aspekt psychologiczny – reprezentacja mnożnika zawsze w postaci ułamka sprawia wrażenie efektu działania zaawansowanego algorytmu.

W Stanach Zjednoczonych testowany jest jednak jeszcze ciekawszy zabieg psychologiczny – rzeczone informacje o przewidywanej cenie w ogóle będą pozbawione wzmianek o mnożnikach, a użytkownik zobaczy tylko iloczyn. Być może przyjęte założenie „mniej matmy, mniej kłopotów” należałoby zamienić na „czego oczy nie widzą, tego sercu nie żal?”

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.